教育情報セキュリティポリシーに関するガイドライン(令和6年1月)37

2025年3月10日 2025年3月7日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

９. SaaS 型パブリッククラウドサービスの利用

「情報セキュリティ」という言葉がカバーする部分は、広大な範囲です。特にこの章はクラウドというすぐにいろいろなことがアップデートされる内容を取り扱っているので、難しい、と感じる部分も多いかもしれません。ご一緒にゆっくり確認していきましょう。

９.２.SaaS 型パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項

9.1.で確認したことと何がちがうの？　と感じる内容です。9.1.では「情報セキュリティ対策が適切に講じられているかを確認する内容」　9.2.では、「クラウド事業者のサービス提供ポリシーや体制等について確認・検証すべき事項」が述べられています。

そのサービスがちゃんと適切に情報セキュリティ対策ができているかと、そのサービスを提供しているクラウド事業者のポリシーや体制が適切なものかということを確認する、というのは似ているようで違うことです。「普通こうだろう」は通用しません。

学習 e ポータル
デジタル教科書
デジタルドリル
協働学習支援サービス
デジタルコンテンツ配信サービス
校務支援システム
学校ホームページ作成サービス
緊急連絡網サービス
Webメールサービス　等

9.1でも挙げられていた上記サービスについて、10項目の例示があります。この例示項目を見て、9.1で確認した以外にもこれを確認しなければならないな、ということが理解しやすいと思います。

守秘義務、目的外利用及び第三者への提供の禁止
準拠する法令、情報セキュリティポリシー等の確認
クラウド事業者の管理体制
クラウド事業者従業員への教育
情報セキュリティに関する役割の範囲、責任分界点
監査
情報インシデント管理及び対応フローの合意
クラウドサービスの提供水準及び品質保証
クラウド事業者の再委託先等との合意事項
その他留意事項

７には「インシデントに備えた組織体制の整備」が追記されています。10には「クラウド利用者は、クラウド事業者において個人情報の適切な管理が行われているか確認するとともに、確認した項目については、調達時においてサービスの過剰な排除にならないよう留意した上で、契約要件等として定めなければならない。」が追記されました。クラウドサービスは日進月歩ですので（便利なものはどんどん進化しますので）ガイドラインが改訂するたびに追記や書き直しが多く発生します。

最新の情報を確認することがとても大切です。

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。