教育情報セキュリティポリシーに関するガイドライン(令和6年1月)7

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第１編 総則

第２章 地方公共団体における教育情報セキュリティの考え方

基本理念が7つ紹介されており、それをもとに第2編で対策基準の例をまとめているという構成になっています。

ガイドラインを参考にして、セキュリティポリシーの策定や、運用ルールの見直しをすることが期待されています。ガイドラインは1年に1回程度改訂されているとお伝えしました。セキュリティポリシーを策定するのはとても時間がかかりますが、運用ルールの見直しは、ガイドラインの改訂と同じくらいのサイクルで実施すると、現場と乖離が少なくて済むように思います。

行政職の皆様には、それくらいセキュリティについては重要だというご認識を持っていただきたいと思います。性善説でうまくいっている学校という特別な空間は、今後もそのままであるとは限りません。

ガイドラインでも「情報セキュリティの確保に絶対安全ということはない」と述べられています。未然防止だけでなく、インシデントが発生した後の拡大防止・迅速な復旧や再発防止の対策を講じていくことが必要です。

情報セキュリティを守るということは個人情報漏えいリスクを軽減するということです。「セキュリティ守らされて大変」ではなく、主体的に取り組むことが重要だと述べられています。

危機管理の面からも、大規模自然災害が起こった際にインターネットをどう確保するか、避難所にどのようなネットワークを敷いておくかなど事前に想定しておくことがとても大切です。非常時に学校の回線を使えばよい、だけでは、例えば非常時だから子どもの成績にアクセスされても仕方がない、ということにはならないはずです。

これらを踏まえて、基本理念を見ていきましょう。

①組織体制を確立すること

まずは、「誰が何に責任を持つか」を明確にしておく必要があります。

ガイドラインでは、教育情報セキュリティポリシーの実行管理の最終責任を有する最高情報セキュリティ責任者（CISO:Chief information Security Officer）については、情報セキュリティインシデントが発生した際の危機管理等の観点から、自治体ガイドラインと同一の者（副市長等）が担うとあります。

首長部局と教育委員会が密に連携を取り、情報セキュリティ対策を実施する必要があるということですね。考えてみれば当然のことなのですが、今まで行政職の皆様の中で「教育委員会は特別だから」という意識が全くなかったということはないのではと思います。

首長部局の情報システム部門が管理する人数とパソコンの台数に対して、教育委員会の情報システム部門（ほとんどの自治体でそのような部門は存在せず、いても一人か二人の担当指導主事のみが多くを占める）が管理する人数とパソコンの台数を、きちんと把握されている首長部局はあるのでしょうか。

きっとあると思いますが、きちんと把握されている自治体ほど、「そんな少人数で管理するのは困難である」という認識をお持ちのことだと思います。

四角四面に「首長部局と教育委員会全てを合わせる」のは難しいです。が、お互いにもう少し歩み寄って、お互いの事情を鑑み、首長部局は手の足りない教育委員会のICT部門をどうすればよいか、ということを考えていく必要があるのではと思います。ほぼ日本全国で、教育委員会のICT部門で手が足りていると聞いたことがありません。行政職の皆様は、「そんなの首長部局でも同じだ」と思われるかもしれませんが、けた違いに足りないということをご認識いただければと思います。

10万台、8000人以上が関わる自治体の教育委員会ICT担当が一人だとお聞きした時はひっくり返るかと思いました。業務委託の業者がいたとしても、判断できるのは正規職員の方のみです。

まず、組織作りから関わっていただけると、問題の解決の端緒が掴めるのではと思います。

来週は教育情報セキュリティポリシーに関するガイドライン（令和6年１月版）第１編総則の続きを読んでいきます。