教育情報セキュリティポリシーに関するガイドライン14

2022年8月29日 最終更新日時 : 2022年8月1日 大江 香織大江 香織

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料 1.3. 情報資産の分類と管理方法

情報資産の管理について解説、注釈が丁寧にあるのでそちらを確認していきましょう。

最初に「管理責任」が述べられています。学校における情報資産の管理責任者を教育情報セキュリティ管理者(校長等)と想定している、ということです。また、管理責任者がすべてを把握したり、すべてを目視したりすることは大事なことではありますが、それにばかりリソースを割いているわけにはいきません。よって、台帳を整備し、二重管理や管理者不明となる情報資産が無いようにすることも大切です。

次に、「分類の表示」が述べられています。この情報資産はどの分類にあたるか、ということを明示しておく必要があるということですね。書いていなければ覚えるか、誰かに確認するか、調べるか、ということになりますが、書いておけばそれを見ればわかりますから、セキュリティを高められるということですね。(書いてるところから目星をつけて重要な機密を持ち去る人的インシデントの可能性と、普段の業務遂行での面倒くささから生じる「そんな重要なものだと思わなかった」でのインシデントの可能性とをわかったうえで考慮が必要です)

続いては、情報のライフサイクルが述べられています。

  • 作成
  • 入手
  • 利用
  • 保管
  • 送信
  • 運搬
  • 提供
  • 公表
  • 廃棄

というサイクルですね。これらの局面ごとに、情報資産の分類に応じ取扱制限を定める、とあります。作るときはとても大変ですが、作ってしまいさえすれば、現場がとても楽になりますので例示をご一緒に確認していきましょう。ただ、注釈にもありますが、一度作って安心、というタイプのものではなく、定期的な見直しが必要です。

先回お話しした機密性3、完全性、可用性2Bの情報資産については以下のように例示されています。

情報資産の取扱例
教育情報セキュリティポリシーに関するガイドライン(令和4年3月) https://www.mext.go.jp/content/20220304-mxt_shuukyo01-100003157_1.pdf P39より引用

これはあくまで例示ですが、「情報資産の運搬」については、鍵付きケースへの格納、とあります。2022年6月、尼崎市で個人情報の入ったUSBメモリを紛失するという事件https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html が起きたことをきっかけに、宮城県名取市では個人データ持ち出しにGPS付専用ケースを導入した、というニュースがありました。https://kahoku.news/articles/20220629khn000029.html このガイドラインを見る限り、対応としては「ガイドラインに沿っている」形にはなると思います。ただ、このニュースがなぜ大きく取り上げられたか、ということは確認しておいた方がいいですね。

また、保管についても「耐火・耐熱・耐水・耐湿を講じた施錠可能な場所に保管(電子データの場合もこれらの対策に準じたサーバに保管)」とあります。クラウドサービスを利用する場合は、「これらの対策に準じたサーバ」に保管されているかどうかというのは絶対の保障はありませんから(日本の耐火基準とクラウドのサーバがある国の耐火基準は違うかもしれません)、そこをどのように表現するか、解釈するのか、ということについてよく話し合っておく必要があります。

個人的には、このレベルの文書に「情報システム仕様書」が含まれていましたので、それが何を指すのかきちんと行政職の方と学校現場の方で話し合っておく必要があるな、ということを強く思いました。

管理者権限のパスワードやサーバの設定値などが書かれたいわゆる「完成図書」は外部に流出してはいけませんが、私が想像するところの仕様書は、入札時等に「この条件でお願いします」と公開されているものになります。全世界に向けて公開されたものを機密性3として取り扱う必要はないでしょう。同じ言葉でも違う内容を指している、と思われる言葉ですね。

また、注釈にある通り、「保護者等関係者に情報を共有すること」と「学校外の不特定多数の人に情報を共有すること」は違う言葉で表現したほうがわかりやすいですね。ガイドラインでは以下のように例示されています。

情報資産の共有とは、保護者等に情報を共有すること(保護者メールを使って、学校から関係する保護者に対して、学校からのお知らせを送付する等)、情報資産の公表とは、学校外の不特定多数の人に情報を提供することを指す。

話し合い不足で、「まさかそんなことだとは思いませんでした」からインシデントが発生することはよくあります。それはとても残念なことですね。忙しくて大変でも、インシデントが起こった場合もっと大変なことになりがちです。

ご一緒に読んでいくことで、理解を深めて、職員同士がより理解すると、セキュリティの強度も上がりますね。

来週は参考資料の続きについて読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
カテゴリー
HBI通信教育情報セキュリティポリシーに関するガイドライン
前の記事
教育情報セキュリティポリシーに関するガイドライン13
2022年8月22日
次の記事
改訂版 全国の学校における働き方改革事例集(令和4年2月)のご紹介2
2022年8月30日