教育情報セキュリティポリシーに関するガイドライン(令和6年1月)40

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

１０. 評価・見直し

どのようなことも、決めただけでは実行されているかどうかはわかりません。人間、楽な方に流れていく生き物です。確認をしたり、見直しをしたりする機会を意識的に設けないと、せっかく策定したポリシーが絵に描いた餅になってしまう可能性が高くなります。ここではその方法を確認しましょう。

１０.1.監査

監査、と聞くと身構えてしまいがちです。怖そうな人がやってきてチェックされてできなければ怒られる、という印象を持つ方もいらっしゃるでしょう。

ですが、監査は「きちんとやれているかどうか」を確認し、「きちんとやれているところを評価」する側面があることも理解しておく必要があります。ちゃんとやっている人とやっていない人がいて、それについて何ら評価がされなければ「やらない方が楽」になってしまいますね。定期的、あるいは必要な時の監査は、組織が力を発揮するために非常に重要なものだと考えられます。

また、外部から見ると、「きちんと監査をやっている」＝「きちんと確認されている」ですから、その組織に対する信頼度が高まります。セキュリティは最新の情報をチェックする必要がありますから、監査？　5年に1回です、では信頼度も落ちますね。

そして、その監査を実施するにあたり、厳密な監査であればあるほど信頼度が増します。

ガイドラインでは、ちゃんと監査をするならこのようなことを規定しておきましょう、という例があがっています。

1. 実施方法
2. 監査を行う者の要件
3. 監査実施計画の立案及び実施への協力
4. 外部委託事業者に対する監査
5. 報告
6. 保管
7. 監査結果への対応
8. 情報セキュリティポリシー及び関係規程等の見直し等への活用

特に注目するのは、２の要件です。誰でもいいわけではないということはなんとなく想像できますが、「専門的な知識」を持っていれば誰でもいいかというと、そういうわけでもありません。

ガイドラインでは「監査の対象となる情報資産に直接関係しない者」つまり「被監査部門から独立した者」であるということが書かれています。どんなに厳密で厳格に実施しても、「身内が監査」というのはそれだけで信ぴょう性を損ねるものとなってしまうということですね。

来週は第２編 教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。

投稿者プロフィール

大江 香織

株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

最新の投稿

• HBI通信2025年4月28日次世代校務DXガイドブック2
• HBI通信2025年4月21日次世代校務DXガイドブック１
• HBI通信2025年4月14日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)42
• HBI通信2025年4月7日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)41