教育情報セキュリティポリシーに関するガイドライン33

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.1. 学校現場におけるクラウドサービスの利用について

クラウドに関しては、ガイドラインでも詳細に触れられています。今週も1.9.1学校現場におけるクラウドサービスの利用について、を読みます。

その中の「クラウドサービス利用における安全性の担保」「クラウドサービスの情報セキュリティを把握するための第三者認証等の活用」を取り上げます。詳細は後に詳しく述べられますので、まず今回は概要を押さえておきましょう。

クラウドサービス利用における安全性の担保

ガイドラインでは「本ガイドラインでは、下記の 2 つの観点からクラウドサービス利用における安全性の
担保に向けて検討・確認することが望ましい内容を 1.9.2、1.9.3 項に示している。」とあります。

クラウド事業者が講じる情報セキュリティ対策を、クラウド利用者が確認する形で安全性を担保するわけですが、それだけで安心せず、「クラウド利用者自らが実施すべき対策があることに留意」とあります。

事業者がメインで安全性を担保しますが、利用者も安全性について実施すべき対策があることを忘れてはならない、ということですね。

クラウド事業者のサービス提供ポリシー等の確認

「サービス提供ポリシーがクラウド利用者のセキュリティポリシーや内部統制に求められる事項に適合するか、クラウド事業者として適切にサービス提供できる管理体制を有しているか等を確認」とあります。

クラウド提供事業者のポリシーをきちんと確認しておかないといけない、ということですね。ガイドラインではさらに「自らの情報セキュリティポリシーを、クラウドサービスの利用を前提とした内容に改めることが大前提」とあります。

情報セキュリティポリシーは、各自治体にありますね。教育委員会は基本的にそれに従っているはずです。ただ、「教育委員会は子どもという大きなステークホルダーが存在する」わけですから、教育情報セキュリティポリシーが別途定められている自治体も多いと思います。

そのポリシーが、「クラウド前提」であることが大事ですね。オンプレミスでなければ守れないような条項があれば、変更しておく必要があります。変更には時間がかかりますから、事前にその点をよく確認しておく必要があるということですね。

法律、ポリシー、条例など、守らなければならないルールが明確化されているものについて、それを守らなければなんらかの不利益を被ります。慣例でやっているので、というのは通じません。オンプレミスの場合、今までいろいろと対応してきた業者なので、言わなくても様々なことをわかってくれていたかもしれませんが、クラウドの事業者には何も通じません。

そのため、ご担当がきちんと規約を読み、ご自分の自治体にあてはめても大丈夫かどうか等については、導入前に必ずご確認いただく必要があります。

来週は参考資料の続き、クラウドサービスの利用について読んでいきます。