教育情報セキュリティポリシーに関するガイドライン46

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.9.5. ソーシャルメディアサービスの利用

情報を提供する際に、ソーシャルメディアサービスを利用することも多くなってきました。たくさんの人が使っているプラットフォームなら、それだけ多くの人に情報を届けるチャンスがあると考えられます。

ただ、その場合、ガイドラインでは「なりすましやサービス停止のおそれがあるため、ソーシャルメディアサービスによる情報発信時の対策を講じる必要がある。」と述べられています。さらに、データの保存を伴う場合には1.9.2及び1.9.3で想定する個別契約締結型サービスの検討を行うこと、とあります。

注意すべきことについて3点あげられていますので見てみましょう。

1. なりすまし対策
2. アカウント乗っ取り対策
3. サービスが終了・停止した場合の対応

１のなりすましについては特に、自治体や学校のアカウントでは注意が必要です。「自治体の公式がこう言っている」というのはかなり強力です。ですので、ガイドラインでは以下のようにしておくことが必要だと述べられています。

・教育委員会又は学校で管理しているウェブサイト内において、利用するソーシャルメディアサービスのサービス名と当該アカウントページへのハイパーリンクを明記するページを設ける。
・運用しているソーシャルメディアサービスの自由記述欄において、庁内ウェブサイト上のページのURL を記載する。
・ソーシャルメディアサービスの提供事業者が、「認証アカウント（公式アカウント）」と呼ばれるアカウントの発行を行っている場合は、これを利用する。

教育委員会のサイトとソーシャルメディアのアカウント双方で「お互いが公式です」と記載し合うことは最低限必要だということですね。また、認証アカウント方式を取っているソーシャルメディアはそれを積極的に活用するといいですね。「教育委員会と名乗ってるけど認証されてない……本物かな？」というような疑問を持たれては困る、ということですね。

２の乗っ取り対策は重要です。乗っ取られてとんでもないことを発信されると、信用が地に落ちる世界になっています。乗っ取る方も公式を乗っ取ることは目的の一つでもありますから、十分に注意する必要があります。

ガイドラインでも当然のことしか述べられていませんが

・パスワードを適切に管理する。
・二段階認証やワンタイムパスワード等、アカウント認証の強化策が提供されている場合は、可能な限り利用する。
・ソーシャルメディアサービスへのログインに利用する端末が不正アクセスや盗難されないよう、最新のセキュリティパッチや不正プログラム対策ソフトウェアの導入、端末管理等のセキュリティ対策を行う。

ということです。そんなの当然だろう、ということと、それを関係人員全員に守らせる、ということは全く違うことです。

例えば、「自分は慣れているから大丈夫」と自分にのみ例外を認める関係者がいたとして、そこからパスワードが漏れる等の事故も多く起こっています。決まりを作ったのなら、関係者に守らせる、ということがとても大事です。

3については、バックアップを定期的に取り、過去の発言についての問い合わせ等があった時にも対応できるようにしておくことが重要だとあります。

公式のアカウントで、「昔言ってたことはわかりません、知りません、知るすべがありません」とは言えませんね。

来週は参考資料の続き、事業者に対して確認すべきプライバシー保護に関する事項について読んでいきます。