教育情報セキュリティポリシーに関するガイドライン(令和6年1月)25
皆さんこんにちは。
2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。
平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。
今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。
第2編 教育情報セキュリティ対策基準(例文・解説)
5. 人的セキュリティ
何かが起こっては欲しくないですが、人間が業務を実施している以上、何かが発生する可能性は常にあります。
その時に、「しまった、大変なことになるかもしれない。……でも、誰に報告したらいいのか分からない」という時間を過ごしていると、被害がどんどん拡大する可能性があります。ですので、連絡体制は整備して置き、かつ、それを訓練する必要があります。ガイドラインを参考に、連絡体制を整備しておきましょう。
5.5.情報セキュリティインシデントの連絡体制の整備
報告は「義務」にするべきです。人間、自分がやらかしてしまった場合「これくらい黙ってたらバレないし怒られない」というマインドを払拭するのはなかなか難しいでしょう。怒られるのは誰でも嫌です。ですが、「いつか必ずバレるし黙っていたらより怒られる」ということを周知しておくと、一定の抑止力があるでしょう。
そんないい方は嫌だ、という気持ちもわかりますが、仕事に対してどのようなマインドで臨んでいる人にもわかるような説明は必要です。
特に、学校現場には、様々な立場や考え方の人が集まります。最低時給で高度なことを求められている非常勤の勤務形態で、「こんな安くこき使われてその上面倒なことを守らなければならないなんて」と思っている人もいるだろう、という前提で考える必要があります。
- 学校内からの情報セキュリティインシデントの報告
- 教職員等の報告義務
- 住民等外部からの情報セキュリティインシデントの報告
- 情報セキュリティインシデント原因の究明・記録、再発防止等
- 支給端末の運用・連絡体制の整備
ガイドラインでは、1について「教職員はセキュリティインシデントを見つけたら、自分で解決するのではなく、速やかに教育情報セキュリティ管理者に報告し、その指示を仰ぐことが必要」とあります。2は、「セキュリティポリシーに違反していたら報告する」とあります。インシデント発生時だけではなく、セキュリティポリシーが守られていなければ報告する、義務がある、ということを確認しておく必要がありますね。
忙しいから仕方がない、あるいは報告するなんてなんか告げ口みたいだ、のようなマインドもよくある話です。だからこそ、「義務」という言葉を使って、「それを報告することがあなたの利益になりますよ」あるいは「報告しなければ不利益になりますよ」ということを説明しておかなければなりません。
また、5は今回追記された部分で、「児童生徒に関しては定期的に報告手順の確認や報告の訓練を実施することが望ましい。」という注意書きもあります。児童生徒だけではなく、教職員も訓練を実施したほうがいいのはもちろんですが、特に1人1台のタブレットを運用するにあたって、「なくした」という話はいつもたくさん聞きます。そういう時にはどうしなければならないか、決めておくこと、訓練しておくことは大事ですね。大人も同様です。
マニュアル等を作成し、周知徹底しておくことが、被害の拡大を防ぎます。
来週は第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。
投稿者プロフィール
-
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
最新の投稿
- HBI通信2024年12月2日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)26
- HBI通信2024年11月25日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)25
- HBI通信2024年11月18日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)24
- HBI通信2024年11月11日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)23