教育情報セキュリティポリシーに関するガイドライン42

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.3 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項

先週に引き続き例文を読んでいきます。

クラウド事業者従業員への教育

２つ例文があります。事業者が従業員に対して、教育を実施しているかどうかを確認するのはとても重要です。セキュリティは日進月歩ですので、5年前の知識で今働いている、というのはとても危険です。利用するクラウド事業者がきちんとそれを認識し、日々知識をアップデートしているということを確認するために必要です。

• クラウド利用者は、クラウド事業者に、従業員に対して個人情報保護等の関係法令、守秘義務等、業務遂行に必要な知識、意識向上のための適切な教育及び訓練を実施し、充分な知識とセキュリティ意識を醸成することをに求めなければならない。
• クラウド利用者は、クラウド事業者に、従業員への上記育成計画、教育実績等の情報を提示させ、自らデータを管理する場合と同様の教育・訓練を実施しているかを確認しなければならない。

人が携わる以上、「絶対」はありえないのですが、できる限りうっかりやつい、を無くしていく努力は必要です。それを確認します。

情報セキュリティに関する役割の範囲、責任分界点

例文が2つあります。

• クラウド利用者は、クラウド事業者の情報セキュリティに関する役割の範囲と責任分界点について開示するよう求めなければならない。
• クラウド利用者は、クラウド事業者の情報セキュリティに関する役割の範囲と責任分界点がクラウド利用者側で講ずる情報セキュリティ対策の役割の範囲と整合することを確認し、合意しなければならない。

物事には線を引かなければならない場合があります。お互いに「あっちの仕事だと思ってた」ということが最もインシデントを発生し、拡大させやすくします。事前に責任分界点を確認しておくと、トラブルも少なくなります。

監査

こちらも例文が2つあります。

• クラウド利用者は、クラウドサービスの監査状況、範囲・条件、内容等についてクラウド事業者に開示するよう求めなければならない。
• クラウド利用者は、クラウド事業者によるクラウドサービスに関する監査レポート等を根拠にして、自らの関係法令、情報セキュリティポリシーと照らし合わせ、安全性が確保されているかについて確認しなければならない。

監査についても、とても重要な項目です。いくら契約時に「やってます」ということを確認しても、それが継続して実施されているか、ということについては確認を実施しないとわかりません。その確認は「監査」として、実行されているかどうかも重要です。「やってる？」「やってます！」では監査になりませんね。

　来週は参考資料の続き、パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項について読んでいきます。