教育情報セキュリティポリシーに関するガイドライン(令和6年1月)5

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第１編 総則

第１章 本ガイドラインの目的等

（３）本ガイドラインの読み方

追加された項目です。「読み方」って、と思われるかもしれませんが、

• 対象範囲
• 想定される読者
• 本ガイドラインの構成

を細かく説明して、読む助けにしている、と思っていただければと思います。

まず対象範囲です。

「本ガイドラインでは、情報セキュリティの観点から守る対象として、学校で扱う情報資産（校務系情報、学習系情報）を想定している」

とあります。大事なので、長く引用しますが

「情報資産のセキュリティを確保するためには、学校が保有するデータそのもの及びそのデータを生成・保管・流通する媒体（紙、ネットワーク、サーバ、端末等）の両方をセキュリティ侵害から守り、情報漏洩を防止することが必要であり、これら全てが本ガイドラインの対象範囲となる。」

ということですね。皆さん、校長室のとても大きな金庫を見たことがありますか。指導要録を紙で保管している学校で、児童生徒数が多ければ多いほどものすごい金庫が必要になります。そういうことを含めて全ての情報資産、という風にきちんと定義づけられています。

なお、学校に敷設されている行政系ネットワークは、「首長部局が自治体ガイドライン（https://www.soumu.go.jp/main_content/000873096.pdf）を基に策定した自治体の情報セキュリティポリシーに準拠すること」と述べられています。

続いて想定される読者です。

「教育情報セキュリティポリシーの策定の担当者、セキュリティ上の職責を担う者」つまり、「公立小学校及び中学校等の設置者である市の教育委員会を想定して記述している。」ということになります。私もその方々を対象として、このブログを書かせていただいています。

最後に構成です。

• 第１編 総則：教育情報セキュリティの基本的な考え方
• 第２編 教育情報セキュリティ対策基準（例文・解説）：教育情報セキュリティ対策基準の例文と解説
  ※手順の策定においても、主に第２編「２. 組織体制」「３. 情報資産の分類と管理方法」「５.人的セキュリティ」が参考となる
• 第３編 付録：用語の解説、次世代の校務 DX に関する内容

となっていると示されています。

第2編のボリュームが大きいのですが、実際にポリシーを策定しよう、となったら、とても頼りになる内容です。少しずつ読んでおくと、安心です。

来週は教育情報セキュリティポリシーに関するガイドライン（令和6年１月版）第１編総則の続きを読んでいきます。