教育情報セキュリティポリシーに関するガイドライン(令和6年1月)35

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

８.外部委託

「情報セキュリティを確保できる外部委託事業者を選定し、契約で遵守事項を定めるとともに、定期的に対策の実施状況を確認する必要がある。」とガイドラインにはあります。

教育委員会では難しいので外部に業務を委託し、専門的な視点での運用や知見を期待するのですが、行政には入札制度があるため、気をつけなければならないポイントがあるということですね。

どうして入札制度があるから気を付けるのだという方もいらっしゃるでしょう。市民の税金を無駄に使わないために、１円でも安く調達するということはとても重要なことです。

ただ、情報システム関連のものは、「その金額が妥当かどうか」をきちんと判断できる人が役所にいないと大変なことが起こりがちです。情報システムが正常に動いているかどうか監視することについて、仕様書に記載がなければ別にしなくても構わないと判断されます。監視のコストがなければそれだけ安くできます。高度な知識を持つ管理者が仕様書に記載されていなければ人件費の安い人員を管理者に指定すれば更に安くできます。

「ちゃんとやろう」とするととてもコストがかかるので、仕様書に書いていないことをどんどん「やらない」業者が安く落札し、「やりません」「知りません」「わかりません」で結局税金の無駄遣いが発生する……というループに陥ります。

その価値が判断できる人あるいは部署が存在しない分野には、入札という制度は合わなくなってきているのではと思います。

更に、共同調達の場合にも留意が必要だとガイドラインは述べています。共同調達のメリットである、規模が大きくなることでのコストダウンは非常に魅力的ですが、ともすれば「自分はできるだけ楽して乗っかりたい」というマインドに陥ってしまうことも考えられます。誰かがきっとやるだろう、ではなく、セキュリティに関する意識は自分事として考える必要があります。

ガイドラインでは4つ項目を挙げています。4つ目が今回追加されたものです。

1. 外部委託事業者の選定基準
2. 契約項目
3. 確認・措置等
4. 外部委託事業者に対する説明

外部委託が決まると、「専門家にお願いできる！！！」という心理から、言葉は悪いですが、「全部こんなの分かっているでしょ？」という空気をひしひしと感じることがあります。その結果、説明がほとんどなく事業が開始される場合もあります。

掲載されるということは、そういう現場が多かったということです。

行政職の皆様は、「専門家の知見を借りて業務を実施する」自分事の一つであるということをずっと意識しておいてほしいと感じます。

来週は第２編 教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。

投稿者プロフィール

大江 香織

株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

最新の投稿

• HBI通信2025年3月24日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)39
• HBI通信2025年3月17日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)38
• HBI通信2025年3月10日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)37
• HBI通信2025年3月3日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)36