教育情報セキュリティポリシーに関するガイドライン17

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.5.2. 研修・訓練

人間がそこにいる以上、ミスもうっかりも悪意も悪気無い無知もあらゆるリスクはそこに存在します。何度も申し上げている通り、いくらシステムでセキュリティを高めても、運用する人間がそれを理解していないと事故や事件は起こります。

ガイドラインでも、以下のことが強調されています

• 情報セキュリティを適切に確保するためには、情報セキュリティ対策の必要性と内容を全ての教職員等が十分に理解していることが必要不可欠である

だから研修や訓練が必要だ、というわけですが、例えば「初任研で研修をちゃんと受けたから10年経験者研修まで研修を受ける必要はない」ということに対してどのように思われますか？　おそらくほとんどの行政職の方は

• 情報セキュリティに関する脅威や技術の変化は早いことから、教職員等に対しては、常に最新の状況を周知することが重要

だとお感じになるのではないでしょうか。では、現場の先生方はどう思われるでしょう。

• 情報セキュリティの向上は、利便性の向上とは、必ずしも相容れない場合がある。教職員等が業務を優先することで、情報セキュリティ対策の遵守ができないこともありえる。

に対して、「そうだよね」と思われる方もいらっしゃる、というのは現状です。現在のセキュリティ技術（主に予算の関係）で機微情報を守るための複雑で手間のかかる手順を守っていては、子どもの安全に関わる、という場面があるかもしれません。

本当に、校務系の情報と学習系の情報を同一の端末で扱う、ということについて、現在学校の先生方はとてつもない手間をかけていらっしゃると思います。お金がない→マニュアルや研修で何とかする→手順が複雑なため守りたくても守れない→インシデント発生→とてつもなく不便になる　ということが発生しがちです。

そこまで複雑にしないで済むソリューションを開発すればよいのですが、「市場にニーズがない」ものに対して開発は進みません。「先生が守るべきセキュリティ」に対して「先生頑張れ」で対応してきた影響が色濃く残っていることを感じます。

セキュリティを守るためにはお金が必要です。既に学校には一人1台の学習用端末と、先生の人数分以上の校務系端末が入っています。役所や会社の情報セキュリティ部門がどれだけ予算をかけて、学校の台数の何分の一の端末のセキュリティを守っているのでしょうか。

ガイドラインでは研修と訓練について、詳しく述べられており、緊急時対応訓練等も実施するよう掲載されています。

さらに、理解度に応じた研修が必要だということも書かれています。例えば、以下の人たちに、全く同じ研修を実施する、というのではなく、立場や経験に応じた研修を実施する必要がある、ということです。

• 統括教育情報セキュリティ責任者
• 教育情報セキュリティ責任者
• 教育情報セキュリティ管理者
• 教育情報システム管理者
• 教育情報システム担当者及び教職員
  

これらは、CISO（最高情報セキュリティ責任者、このガイドラインでは副市長の例が述べられている）が実施しなければならないこととされています。学校現場と連携を取り、それぞれの立場や役割で必要な研修を実施していくということですね。

来週は参考資料の続き、研修について読んでいきます。