教育情報セキュリティポリシーに関するガイドライン44

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

ここまで、何にも代えてない

参考資料　1.9.3 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項

先週に引き続き例文を読んでいきます。

その他留意事項

3つの例文があります。それぞれ確認が重要な内容です。大事なことなので何度もお伝えしていますが、「こんなにたくさん確認しなきゃならないのか」ではなく、「ここに書いてあることを確認しておけばかなりリスクは低減できる」という風に捉えてもらえるといいのではと思います。自分ひとりで網羅しようと思っても、それはとても難しいことですから、ガイドラインがこのように書いてくれているということはとてもありがたい話です。大いに活用しましょう。

• クラウド利用者は、クラウド事業者がサービスを安定して提供可能な企業・団体であるかについて考慮しなければならない。
• クラウド利用者は、クラウド事業者間でのデータ形成の互換性が必ずしも保証されている訳ではないことから、事業者を変更する際のデータ移行の方法などについて、クラウド事業者にサービス提供定款や契約書面上で確認または合意しなければならない。
• クラウド利用者は、クラウド事業者に対して、クラウドサービスにおいて扱う情報資産や情報システム等について、日本の法令が適用されること及び係争等における管轄裁判所が日本国内であることを確認すること。

１に書いてあるのは、「サービス期間の途中で倒産したりしないよね」ということを確認しないといけないということですね。設立したての会社等、継続性について十分考慮が必要だということです。

２はデータの互換性の確認です。クラウドの提供会社を変えたりするときに、「独自のデータ形式でしかエクスポートできない」というのは困りますね。汎用的な形式でまとめてデータを移動することができるかどうかなどを確認しておくと、更新の時にスムーズです。

３は「日本の法令」が適用されることと、管轄裁判所が「日本国内」にあることは必ず確認したほうが良いです。係争となる場合に、海外の裁判所を指定されると、とても大変です。

言われてみればわかるけれど、というような内容が多いのではと思います。ですが、特に３は、そんなことまで考慮しなければならないのか、と思われる方もいらっしゃると思いますが、大変です。考慮しておくに越したことはありません。

来週は参考資料の続き、約款による外部サービスの利用について読んでいきます。