教育情報セキュリティポリシーに関するガイドライン29

2022年12月26日 最終更新日時 : 2022年12月23日 大江 香織大江 香織

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料 1.8 外部委託

何度も繰り返しお伝えしていますが、学校には今人数分以上のタブレットが導入されています。

この台数のタブレットを管理するための人員はたくさん必要だということはどなたもご理解されているところだと思います。令和3年度教育の情報化の実態に関する調査結果からわかるように、教育用コンピュータ台数がここ2年間で一気に跳ね上がりました。下にグラフを引用しています。

平成22年度からずっとずっと200万台程度だった教育用コンピュータが、令和4年3月には1240万台と約6倍になっているのです。

通常考えれば、台数が6倍になったら、管理する人員も増やさなければなりません。単純に6倍とは言わずとも、少なくとも「今までと同じ人数で」管理するのは非常に困難となるでしょう。

その際に、教育委員会行政職をいきなり増やすのはとても難しい状況だと思います。(計画的に増やすプランを立てている自治体があればぜひぜひぜひ教えてください!)そこで、「外部委託」を実施して、教育の情報化を専門に行っている民間の力を活用し、対応するという方法が考えられます。

令和3年度学校における教育の情報化の実態等に関する調査結果(概要)【確定値】P4 https://www.mext.go.jp/content/20221027-mxt_jogai02-000025395_100.pdf

ガイドラインでは「外部委託事業者からの情報漏えい等の事案を防止するために、情報セキュリティを確保できる外部委託事業者を選定し、契約で遵守事項を定めるとともに、定期的に対策の実施状況を確認する必要がある。」とあります。

情報漏えい等はとても心配ですが、心配する幅が広すぎるので、ガイドラインを参考に必要な事項を規定すると漏れが少ないです。

例えば注意書きにある「個別の地方公共団体が単独で外部委託する場合だけでなく、共同アウトソーシングの形態等により地方公共団体が共同で外部委託する場合にも対策を行う必要があることに留意する」については、共同事業の際に「こう書いてある」と言えば関係者全員納得して話が進められます。そうでない場合は、「共同体それぞれのセキュリティポリシーでいいではないか」というような意見も出てきますので、ガイドラインで触れるということはとても重要です。

外部事業者の選定基準として、仕様書に盛り込む内容が例示されています。

  • 外部委託事業者に提供する情報の委託事業者における目的外使用の禁止
  • 外部委託事業者における情報セキュリティ対策の実施内容及び管理体制
  • 外部委託事業の実施にあたり、外部委託事業者の組織又はその従業員、再委託事業者、若しくはその他の者による意図せざる変更が加えられないための管理体制
  • 外部委託事業者の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)
  • 実績及び国籍に関する情報提供
  • 情報セキュリティ要件の適切な実装
  • 情報セキュリティの観点に基づく試験の実施
  • 情報セキュリティインシデントへの対処方法
  • 情報セキュリティ対策その他の契約の履行状況の確認方法
  • 情報セキュリティ対策の履行が不十分な場合の対処方法

仕様書を作成する際に、これらの項目が盛り込んであれば、杜撰なセキュリティに対する考え方を持つ業者はなかなか手を挙げられないでしょう。

また、契約項目には以下13種類について、委託する業務の内容に応じて明確に要件を規定する必要があると述べられています。

  • 教育情報セキュリティポリシー及び教育情報セキュリティ実施手順の遵守
  • 外部委託事業者の責任者、委託内容、作業者、作業場所の特定
  • 提供されるサービスレベルの保証
  • 委託事業者に許可する情報の種類とアクセス範囲、アクセス方法
  • 従業員に対する教育の実施
  • 提供された情報の目的外利用及び受託者以外の者への提供の禁止
  • 業務上知り得た情報の守秘義務
  • 再委託に関する制限事項の遵守
  • 委託業務終了時の情報資産の返還、廃棄等
  • 委託業務の定期報告及び緊急時報告義務
  • 地方公共団体による監査、検査
  • 地方公共団体による情報セキュリティインシデントの公表
  • 教育情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)

セキュリティに関しては、漏れがあるとそこからさまざまなインシデントが起こりがちですので、ガイドラインでこのように例示があると、助かります。「なぜこの文言が入っている」という質問にも「ガイドラインで例示されていた」だと非常に説明しやすいですね。

来週は参考資料の続き、クラウドサービスの利用について読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。
カテゴリー
HBI通信教育情報セキュリティポリシーに関するガイドライン
前の記事
教育情報セキュリティポリシーに関するガイドライン28
2022年12月19日
次の記事
第9回 ヘルプデスク業務のご紹介
2023年1月4日