教育情報セキュリティポリシーに関するガイドライン40

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.2 クラウドサービスの利用における情報セキュリティ対策

先週の続きです。例示文を確認していきましょう。最後に、データ廃棄について確認です。

データの廃棄等について

２つの例示があります。

• クラウド利用者は、サービス利用終了時等において、クラウド利用者のデータが不用意に残置されないよう、適切に破棄するための流れについてサービス提供定款や契約書面上で確認または合意しておかなければならない。
• クラウド利用者は、サービス利用終了時等におけるデータの扱いについて、スムーズに回収、次期システムへの移行等を行えるよう、その措置の流れについてサービス提供定款や契約書面上で確認または合意しておかなければならない。

データは永遠に保持し続けられるわけではありません。クラウドサービスとの契約が終了すれば、速やかに廃棄されないと困りますし、それが不完全な形で廃棄されるのも困ります。

不完全なデータの廃棄は外部への情報漏洩につながることが多いです。単純にデータをデリートキーで削除しただけでは素人でもデータ復旧はかなり簡単にできます。ですので、ガイドラインでは「クラウド事業者に預けた個人を特定しうるデータの消去及びデータを格納した機器・媒体等の廃棄について、規約、プライバシーポリシー、契約要件等によってその措置について確認しておかなければならない。」と述べています。

また、見落としがちですが、「ストレージ等の物理マシンの保守交換時においても、データを消去しないまま作業が行われないよう、保守作業時におけるデータの消去を確実に行うことも必要である。」ことが併せて述べられています。

そして、ガイドラインでは「望ましい」としていますが、「該当クラウドサービスが「NISTSP800-88(メディア廃棄)」に準拠しているかどうか、及び後述の1.10における宣言書を宣言しているかどうかを確認する」とより安心です。

2については、「クラウドサービスの利用終了後に預けたデータを回収することが必要になるが、その回収方法等についてはあらかじめ手順・方法を確認しておくことが必要である。」という意味です。クラウドサービス上の巨大なデータを、どのような形で回収するのか、あらかじめ確認しておくと安心です。

来週は参考資料の続き、パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項について読んでいきます。