教育情報セキュリティポリシーに関するガイドライン25

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.6.6. セキュリティ情報の収集

こういうことを取り出して書く必要があるのか？　とお思いの方もいらっしゃるかもしれません。

セキュリティ情報を収集するのは当然ではないか、というのは大変ごもっともなご指摘ですが、ではそれを収集するのは誰で、どういう頻度でするべきなのでしょうか？

担当者なんだから当然だ、では、責任の所在が不明瞭です。業務というのは明確化して、それを実施して評価しなければ、「やらなくていいならやらない」という風になりがちですね。

そのため、ガイドラインでこのように取り上げるということは意味があります。名前のなかった、やらなければならないけれど気が付いた人しかやらず、気が付いた人に対して特に評価もないので負担感ばかり増す業務が、評価対象の業務へと変わるからです。

ガイドラインでは特に3つのセキュリティ情報の収集と、それらをどうするかについて述べられています。

• セキュリティホールに関する情報の収集及び共有並びにソフトウェアの更新等
• 不正プログラム等のセキュリティ情報の収集及び周知
• 情報セキュリティに関する情報の収集及び共有

特に1に関しては「統括教育情報セキュリティ責任者及び教育情報システム管理者」と明記されています。

直接これらの人物が実施するのではなくとも、きちんと調査し、報告をする担当を決めておく必要性がわかりますね。

また、必要に応じて教職員へ周知を図る、対応策を周知する、関係者間で共有すること等についても述べられています。

情報収集に限らず、「名前のない仕事」「気が付いた人だけがやっている仕事」について、こまめなケアやそれを評価対象にするなどの措置を実施することは、組織の体制を盤石にするために有効です。ご一考いただければと思います。

来週は参考資料の続き、運用について読んでいきます。ハイパーブレインの得意分野です。