教育情報セキュリティポリシーに関するガイドライン(令和6年1月)4

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第１編 総則

第１章 本ガイドラインの目的等

（２）本ガイドラインの位置付け

情報セキュリティポリシーの体系についての説明があります。

• 基本方針：各地方公共団体の情報セキュリティ対策における基本的な考え方を定める
• 対策基準：基本方針に基づき全ての情報システムに共通の情報セキュリティ対策の基準を定める
• 実施手順：対策基準に基づき具体的なシステムや手順、手続に展開して個別の実施事項を定める

※「基本方針」と「対策基準」を総称して「情報セキュリティポリシー」という

この体系的な考え方を身につけたうえで、学校教育では「地方公共団体の他の行政事務とは異なる特徴を有するため、そちらを考慮した情報セキュリティ対策を講ずる必要がある。」とあります。

ですので、地方公共団体は、「基本方針」は総務省の定める自治体ガイドラインに基づき策定し、「「対策基準」及び「実施手順」については、学校を想定したものを策定することが求められる。」とあります。教育委員会だけに言っているのではなく、地方公共団体に向けて言っていますね。

そのあとで「地方公共団体及び教育委員会の長をはじめ、全ての職員、教員、事務職員及び外部委託事業者は、学校関係の業務の遂行に当たっては、学校を対象とした「対策基準」及び「実施手順」を遵守する義務を負う。」とあります。対策基準や実施手順を守ることが義務、と言っているのです。

第３回では、「自分の身を守る」という観点で、お話ししましたが、ここで「守るのが義務」と定義されています。

そして、「児童生徒においても本ガイドラインに規定した対策について遵守するよう、職員、教員、保護者等が適切に指導を行うことが求められる。」とあります。保護者も入っていますから、つまり、保護者に対しても対策について説明をした方がいいということになりますね。

また、「本ガイドラインに基づき策定いただきたいのは「教育情報セキュリティポリシー」を構成する「対策基準」の部分である。リスク分析を含む情報セキュリティ対策の実施サイクルや、「基本方針」については、自治体ガイドラインを参照されたい。」とあります。

０から考える必要はなくて、枠組みは提示されていて、それの参考資料もあるので、このガイドラインを参考に、行政職の皆様は考えていただけるといいのではと思います。このガイドラインの位置づけをご確認いただき、必要な個所を必要なように利用していただければと思います。

来週は教育情報セキュリティポリシーに関するガイドライン（令和6年１月版）第１編総則の続きを読んでいきます。