教育情報セキュリティポリシーに関するガイドライン(令和6年1月)41

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

１０. 評価・見直し

セキュリティが守られるかどうかは結局人間の行動にかかっています。お金をかけて外部監査を入れる必要もあれば、日常的に自分で意識して守る必要もあります。また、あまりに煩雑で実用に耐えないポリシーは別の何かで代用できないかなど常に見直す必要があります。

１０.２. 自己点検

人の「自分基準」というものは千差万別です。「たびたび自己点検しましょう」という決め方では、1日に１回と思う人から１年に１回と思う人、あるいはもっと短い、もっと長いスパンを考える人と様々です。

ですので、ガイドラインでは「自己点検を定期的に実施する規定を設け、その活用方法とあわせて規定する。」とあります。

自己点検は、内部のために実施するという側面もあります。何度も申し上げていますが、あまりに煩雑な手順は業務効率を著しく下げますので、規定されている自己点検を行った結果、こういう課題が出てきた、と持っていくのがスムーズです。普段の業務中に「こんなのやってられない！」と怒っても、変えるきっかけが見つからないと変わらないのが組織です。しっかり点検して、見直しがスムーズに実施されるようにしましょう。

ガイドラインではこれらを３点にまとめています。

1. 実施方法
2. 報告
3. 自己点検結果の活用

１０.３. 教育情報セキュリティポリシー及び関係規程等の見直し

セキュリティの世界は日進月歩、というより、本当に昨日まで有効だった対策が即有効ではなくなる、というような世界です。よって、苦労してセキュリティポリシーを策定しても、それが５年間１度も見直されていません、だと果たして実効性があるかどうか疑わしい、ということになってしまいますね。

とはいえ、人間「大事だけれど、今やらなくてもよい仕事」はどんどん後回しになっていきます。

ですので、ガイドラインでは「教育情報セキュリティポリシー及び関係規程等の見直しについて規定する。」とあります。決めておけば、その時に合わせて見直すことができるということですね。

例文として挙げられているのは以下の通りです。

• 情報セキュリティ委員会は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等をふまえ、情報セキュリティポリシー及び関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合、改善を行うものとする。

１年に１度は見直し、何か重大な変化が発生した場合には適宜改善する、ということですね。CISOの交代のタイミングなどは重大な変化といえるかもしれません。

長らく教育情報セキュリティポリシーに関するガイドラインを読んできました。次週、第３篇の付録全体を概観して、シリーズ完結とさせていただく予定です。よろしくお願い申し上げます。

投稿者プロフィール

大江 香織

株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

最新の投稿

• HBI通信2025年4月28日次世代校務DXガイドブック2
• HBI通信2025年4月21日次世代校務DXガイドブック１
• HBI通信2025年4月14日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)42
• HBI通信2025年4月7日教育情報セキュリティポリシーに関するガイドライン(令和6年1月)41