教育情報セキュリティポリシーに関するガイドライン28

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.7.4. 例外措置

学校が、会社や役所と絶対的に違うのは、「子どもの数の方が多い」「子どもが一人1台使用している」です。

そのため、大人と全く同じセキュリティポリシーを遵守する、というのは難しく、授業の進行に支障をきたす場合があります。

ガイドラインでは「情報セキュリティポリシーの規定をそのまま適用した場合に、学校事務及び教育活動の適正な遂行を著しく妨げるなどの理由により、これに代わる方法によることやポリシーに定められた事項を実施しないことを認めざるを得ない場合がある。このことから、あらかじめ例外措置について規定する。」

とあります。

例外措置については具体例をあげてはないですが、実情に合わせる必要があります。誰がいつどのように承認したか明らかにすることがとても重要です。

ガイドラインには「CISOは、例外措置についての手続きを定め、明示することによって、ローカルルールの氾濫や、対策の未実施を防止することができる。」とあります。ローカルルールが口伝、というのはセキュリティ上とてもリスクの大きな状態です。

参考資料　1.7.5. 法令等遵守

　日本は法治国家ですので、法令遵守は当然のこととして世の中が進んでいきます。ガイドラインでも

「教職員等は、全ての法令を遵守することは当然であるが、教職員等が業務を行う際の参考として、情報セキュリティに関する主要な法令を明示し、法令の遵守を確実にする。」

　教職員は公務員ですから、公務員法などを遵守するのはもちろん、セキュリティ等関連の法律も守る必要があります。ただ、セキュリティ等関連の法律は度々改正されますし、最新版がいつから施行されるのか等も気を配る必要があります。

　その中で、特に8つ注意するべき法律が例示されています。

• 地方公務員法(昭和25年12月13日法律第261号）
• 教育公務員特例法（昭和24年1月12日法律第1号）
• 著作権法（昭和45年法律第48号）
• 不正アクセス行為の禁止等に関する法律（平成11年法律第128号）
• 個人情報の保護に関する法律（平成15年5月30日法律第57号）
• 行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27 号）
• サイバーセキュリティ基本法（平成26年法律第104号）
• ○○市個人情報保護条例（平成○○年条例第○○号）

これらの法律は、施行規則など付随するものも多くありますので、最新の情報を確認しておく必要があります。egovポータルで「法令検索」を使うと、最新のものが確認できるのでとても便利です。

参考資料　1.7.6. 懲戒処分等

ガイドラインでは「教育情報セキュリティポリシーの遵守事項に対して、教職員等が違反した場合の事項を定めておくことは、教育情報セキュリティポリシー違反の未然防止に、一定の効果が期待される。」とあります。

これは、確かに一定の効果があります。例えば、決めておかないと「別に守らなくても何もペナルティがないなら守っている方がばかばかしい」という心境に陥ることもあります。何度も言っていますが、セキュリティについては守るために「とても面倒だ」と感じる手順や手続きが必要になることが多いです。

可能なら無視して仕事したほうが楽だ、という風に流れていきがちです。今まで仕事をしてきて、あまりインシデントに出会わなければますますそう思ってしまいがちですね。

本来、インシデントが起こった際に「セキュリティポリシーを遵守したうえで」インシデントが発生したなら、それは組織全体の責任ですが、「セキュリティポリシーを破った」運用をしていたならば個人の責任も重く考えられます。

そう説明しても分からない人には、ペナルティを課すことで「守らないといけないんだな」という意識をもってもらえる可能性があり、全体的にリスクが軽減されることが期待できます。

来週は参考資料の続き、外部委託について読んでいきます。