教育情報セキュリティポリシーに関するガイドライン47

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.10. 事業者に対して確認すべきプライバシー保護に関する事項

どのような内容でも、「普通こうしてくれるだろう」と思う、で物事を進めるのはとても危ないことです。必ず確認をする必要があります。それは失礼なことでも相手を信用していないということでもありません。もし「確認したい」と伝えて怒り出す事業者がいたら、そんな事業者とは縁を切ったほうがいいでしょう。

ガイドラインでは、個人情報の管理について確認すべき事項を述べています。最初に「外部委託やクラウドサービスの利用に当たっては、事業者における個人情報の適切な管理が行われていることが必須であることから、個人情報の収集・利用範囲や管理期間、データの統制と所有の在り方等について、事業者に確認を行う必要がある。」とあります。

データの統制や所有の在り方がどのようになっているのか、自組織との整合性は取れているのか、というのは重要ですね。そのうえで、以下の13点について、確認するように述べられています。

• 個人情報の定義
• 個人情報の取得
• 個人情報の利用
• 利用目的
• 個人情報の第三者への提供
• 不適切なポリシー等の変更禁止
• 個人情報の保持期間
• 個人情報の取扱いについての情報開示
• 利用者による個人情報の開示等の請求
• 個人情報の適正管理
• 委託
• 合併/事業譲渡
• 匿名加工情報の取り扱い

例えば、１の「個人情報の定義」というのは真っ先に確認しておかなければなりません。自組織での個人情報と、委託先の事業者での個人情報が違う、という理由で、個人情報が漏えいするのはとても困りますね。

その他、事業者が合併したり、事業譲渡を実施したりする可能性もあるということを念頭に、事業譲渡後のルールについては知りません、という状態ではなく、現状の条件の契約が続くのかどうか、ということを確認しておく必要があります。

たくさん述べられていることをお伝えするときに、「まだこんなにたくさんのことを確認しなければならないのか」という気持ちになるのは普通のことです。ただ、自分で網羅するのは大変なので、このようなガイドラインを使って、「これだけ確認してありました」ということを証明できるのは、大きな強みです。見落としてそうなっているのか、確認時と違うことをしたからそうなっているのか、ではインシデントの対応方法も変わります。

また、これはICTに関するどの分野の内容にもいえることですが、技術も常識もルールも日進月歩です。法律も次々施行されます。ですので、最新の情報を常に確認する必要があります。その、最新の情報にどうやってアクセスできるのかを知ることはとても重要です。個人では限界がありますので、組織的に対応できる体制を作ることが大切です。

来週は参考資料の続き、クラウドサービス活用における個人情報についてを読んでいきます。