教育情報セキュリティポリシーに関するガイドライン(令和6年1月)3
皆さんこんにちは。
2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。
平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。
今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。
第1編 総則
第1章 本ガイドラインの目的等
(1)本ガイドラインの目的
「情報セキュリティポリシーとは、組織内の情報セキュリティを確保するための方針、体制、対策等を包括的に定めた文書をいう。」
という書き出しでこのガイドラインは始まっています。また、
「情報セキュリティポリシーは、情報セキュリティ対策の頂点に位置するものであり、本来は地方公共団体全てを包括するポリシーでなければならない。」
ということも新たに書き加えられています。
教育委員会では15%程度がセキュリティポリシーを策定していない(自治体のセキュリティポリシーを準用もしていない)という状況で、危機的状況である、というのは「はじめに」で読みました。
セキュリティを守ろう、という意識があっても、何をどう守ればいいか、ということについて、個人で調べて個人の判断で実施するというのは非常に危険です。これもHBI通信で何度もご紹介してきましたが、例えば以下の行為についてどう思われるか考えてみてください。
・デジタル教科書のアカウント登録をICT支援員に頼んで実施してもらった
これは非常に複雑な問題を孕んでいます。
まず、大前提としてICT支援員はICTに関する支援を学校で実施するために学校に訪問しています。デジタル教科書のアカウント登録は、ICTに関する支援に入りそうな気持ちになりますね。
ですが、ICT支援員は、「仕様書」あるいは「労働条件通知書」の仕事内容しか実施することができません。無尽蔵に何でもお願いできるというわけではないのです。これはセキュリティポリシーの有無に関わらず、働き方に関わる法律でそのように決まっています。業務委託契約なのか、派遣契約なのか、会計年度任用職員として雇用するのか、など法律に従って仕事の内容を定義する必要があります。
では、仕様書に「デジタル教科書のアカウントを登録すること」と書くのはどうでしょうか。デジタル教科書のアカウントには、個人情報が含まれている可能性が非常に高いです。また、アカウント登録は通常自治体のセキュリティポリシーに従って、従事する者が限られる、高度な仕事です。ですので、仕様書に「登録すること」と書くと、予算が跳ね上がります。セキュリティを理解している人材は大人気で、高い給与を支払わないと働いてもらえません。
それでは、仕様書に「デジタル教科書のアカウントの登録支援すること」と書くのはどうでしょう。今の仕様書のほとんどはこのような書き方です。あくまで「支援する」人材だから、その人は実際に作業をやらないよ、だから高度セキュリティ人材ではないんだよ、という解釈ですね。
学校の先生はそれをご理解いただけるでしょうか。ただでさえ目が回るほど忙しい年度当初に、アカウントの登録作業をICT支援員が「やれません。支援しかできません。見守りますね」ということにご納得されるでしょうか。そこにいる「ICT」支援員が手を動かさず、結局先生が実施する――という状況に、先生は理不尽さを感じ、ICT支援員も申し訳なさでいっぱいになってしまいます。
ですので、建前上ICT支援員はアカウント登録作業自体を実施しないことにはなっていても、4月3日の学校訪問で「やれません」とは言えずに、やむを得ず先生監視のもと(という名目で、先生がいる職員室で)作業を実施する支援員が、存在していそうな気がしませんか。
学校は、「一か所クラス替えを行ったらなんとかなる」システムとは程遠い状況です。
入っているシステム毎に「学年」「クラス」「番号」を設定しなおさなければならない状況です。シングルサインオンはまだまだまだまだ普及途上の段階です。
デジタル教科書も、教科書会社が違えば使用しているビューワーが変わる可能性が高いので、その度に登録しなおす必要があります。国語と算数と理科と社会と英語で5回児童生徒情報・担任情報を登録しなければならない、という学校もたくさんあります。
教科書は授業が始まったらすぐ使いたいものです。当然ですね。それを使うための準備に、紙の教科書と比べてデジタル教科書は非常に手間がかかります。紙の教科書は数がわかればいいだけですが、デジタル教科書は「誰」が必要だからです。
このような状況で、セキュリティポリシーが定められておらず、「現場のセキュリティ感覚に任せる」だと更に混乱が起きると思いませんか? よりどころがなく、判断が都度変わり、何か事故が起こった時には言ってることがひっくり返される(証拠がないので、立場の弱いものがより弱くなる)ような状況で、働きたいと思う人はいるでしょうか。
学校は基本的に性善説で動かれていると感じます。先生になるような方は使命感を持って、残業代もほとんど出ないのに熱心に夜遅くまで仕事に取り組まれている方が多いなと思います。
ですが、先生がご自分では決してなさらないようなことをする人間が世の中には存在し、先生ご自身に悪意が全くなくともセキュリティの事故が起きてしまうことがあります。その時、先生を守るのは「セキュリティポリシーに従って行動していた」という事実です。そのポリシーが「ありません」では、先生を守るものはいったい何でしょう。
行政職の皆様、お忙しいことは重々本当に承知しております。ですが、先生方を、ご自身が学校に行かれた際のご自身の身を守るためにも、セキュリティポリシーの策定をどうぞよろしくお願いいたします。
策定済みの皆様も、見直しをどうぞよろしくお願いいたします。
そのための、ガイドラインの改訂です。どうかご一緒に読んでいただき、策定・見直しを実施していける一助になればと思います。
来週は教育情報セキュリティポリシーに関するガイドライン(令和6年1月版)第1編総則の続きを読んでいきます。
投稿者プロフィール
-
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
最新の投稿
- HBI通信2024年12月2日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)26
- HBI通信2024年11月25日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)25
- HBI通信2024年11月18日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)24
- HBI通信2024年11月11日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)23