教育情報セキュリティポリシーに関するガイドライン13

2022年8月22日 最終更新日時 : 2022年8月1日 大江 香織大江 香織

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料 1.3. 情報資産の分類と管理方法

情報資産は膨大にあり、そのすべてが大事である、というのは一面の真実ですが、そのすべてを同じ強度で管理できるか、というと難しいですね。

そのため、情報セキュリティの3要素である機密性、完全性及び可用性のそれぞれで分類し、どのレベルの文書なのかを定義することによって、取り扱い制限を明確にする、ということですね。

例示では、機密性が一番細かく、完全性、可用性と続いています。それぞれ該当される情報資産のイメージが示されているのも分かりやすいです。ただ、あくまでイメージですので「指導要録」というようなそのものずばりが掲載されているわけではありません。

行政職の皆様は、学校出身の方とご一緒に、これに該当するのはどのようなものか、ということを1度ご確認されるとその後がとてもスムーズではないかと思います。学校出身の方には考え方を身に付けていただくことで、新たに出てきたこの情報資産はどれにあてはめればよいか、という判断もやりやすくなります。

機密性

例えば、機密性3の最高レベルに分類される資産については以下の記載があります。

  • 分類基準:学校で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産
  • 該当する情報資産のイメージ:特定の教職員のみが知り得る状態を確保する必要のある情報で秘密文書に相当するもの

 「秘密文書」というと、行政職の皆様は大体何にあたるか、というのはご想像いただけると思います。内閣府より公開されている公文書管理制度の関係法令・通知等によくまとまっていますね。行政文書の管理に関するガイドラインは改訂される度にこちらに掲載されなおしていますし、過去の分と区別がつくようになっています。

 また、行政文書の管理に関する公文書管理課長通知では具体的な事例が掲載されていますね。学校出身の方にこのような視点で考え方をお伝えいただくとご理解が進むと思います。なんとなく、ではなく根拠があってこのようになっている、ということはとても重要ですね。

つまり、機密性3に分類される資産は、首長部局でいうところの○○で、学校でこれくらい重要な資産はどれにあたりますか、とすり合わせていく必要があるということです。

そんなの時間がかかるじゃないか、と思われるかもしれませんが、これを最初にやっておかないと現場のオペレーションが混乱し「機密性2だと思っていた」情報資産が流出して「これは機密性3だろう!!」ということが発生してしまう可能性があるわけです。

1から実施する必要はなく、通常大体機密性3はこうだよね、という共通認識はあります。共通認識の少しはずれにあるものについて、できる限り境界線を明確にしていく、というイメージですね。

完全性

完全性の最も高い例示は2Bです。

  • 分類基準:学校で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、学校関係者の権利が侵害される又は学校事務及び教育活動の的確な遂行に支障(軽微なものを除く)を及ぼすおそれがある情報資産
  • 該当する情報資産のイメージ:情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に支障ある情報

というような情報ですね。行政文書ではどのようなものが当てはまるのか、行政職の皆さんは今までの部署でご経験されていると思います。

可用性

可用性の最も高い例示は2Bです。

  • 分類基準:学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産
  • 該当する情報資産のイメージ:必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に支障がある情報

このような形で例示されています。ズバリこれ、という例示は、少しだけ解説部分に載っています。以前は該当すると思われる文書を網羅したものすごい表が掲載されていましたが、学校によって、地域によって、同じものでも違う呼び方をすることがあるため、誤解を生じないようにあくまで例示ということで掲載されていると思われます。

例えば、機密性3、完全性2B、可用性2Bに示されているものは4つ、

  • 指導要録原本
  • 教職員の人事情報
  • 入学者選抜問題
  • 教育情報システム仕様書

です。行政職の皆様は、学校出身の職員の方とタッグを組んでご確認いただければと思います。

来週は参考資料の続きについて読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
カテゴリー
HBI通信教育情報セキュリティポリシーに関するガイドライン
前の記事
ICT初心者社員、文部科学省のメッセージを解読
2022年8月18日
次の記事
教育情報セキュリティポリシーに関するガイドライン14
2022年8月29日