教育情報セキュリティポリシーに関するガイドライン45

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.4. 約款による外部サービスの利用

様々な例文を読んできましたが、個別契約を前提とする1.9.2や1.9.3ではなく、インターネット上に約款を掲示し、同意した利用者に対して情報処理機能を提供するサービスの、SaaS 型パブリッククラウドサービスの一種についても検討する必要があります。

利用者が必要とする情報セキュリティに関する十分な条件設定の余地があるものを除くものですので、原則、約款に提示された提供条件だけで利用を判断することになるため、リスクを十分踏まえて、利用に際して適切なセキュリティ対策を講じる必要があります。

約款への同意及び簡易なアカウントの登録により当該機能を利用可能なサービスとしてガイドラインには以下の4点が例示されています。

・電子メール
・ファイルストレージ
・グループウェア等のクラウドサービス
・ファイル転送サービス

例文が提示されていますので見ていきましょう。

（１）約款による外部サービスの利用に係る規定の整備

教育情報システム管理者は、以下を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、機密性の高い情報の取扱いには十分に留意するように規定しなければならない。

• （ア）約款によるサービスを利用してよい範囲
• （イ）業務により利用する約款による外部サービス
• （ウ）利用手続及び運用手順

（２）約款による外部サービスの利用における対策の実施

教職員等は、利用するサービスの約款、その他提供条件から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適切な措置を講じた上で利用しなければならない。

例えば、ファイルストレージを利用してデータのやり取りを実施する場合、約款を必ず確認して、預けた情報がいつ消えるのか、その情報をどこまで利用されるのか、ということなどは見ておかないといけません。

ガイドラインでは、「教職員等が学校において、個人アカウントにより無断で約款による外部サービスを取り扱うことはセキュリティポリシー違反であり、学校の情報セキュリティ管理をすり抜ける行為である。」として、セキュリティ管理の重要性を説いています。

外部サービスは気軽に簡単に利用できますが、それを支えている収益はどこから来るのかということを想像しないといけませんね。約款は小さな文字でたくさんあるので読むのも大変ですが、確認することが重要です。

来週は参考資料の続き、ソーシャルメディアサービスの利用について読んでいきます。