教育情報セキュリティポリシーに関するガイドライン５

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

ガイドライン、と聞くと私は「やったー！　いろんな専門家のいろんな知見が集まって解説してくれているこんなラッキーなことはない、私一人で調べるよりよっぽど早い。本当にありがとうございます！！」と思って見に行きます。自分で一から調べるのも糧になりますが、既に知見が集まっているのならそれをもとに、批判的に読み、自分にあてはめて落とし込んでいくことができるとよりいいなと思っています。

ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

第３章 地方公共団体における教育情報セキュリティの考え方

ガイドラインの基本理念と参考資料について、3章で紹介されています。

その後、大事なことなので繰り返し言われている「各教育委員会・学校においては、本ガイドラインを参考にしつつ、学校における情報セキュリティポリシーの策定と運用ルールの見直しを行うことが期待される。」が書かれています。

これについてはこの後も何度でも出てくるのですが、このガイドラインはあくまで「参考」にするもので、ここに書かれていることを金科玉条のように守り、運用を硬直化させることがないように、ということをガイドラインでは言いたいということですね。

セキュリティに関して意識を高く保つのはもちろんですが、あまりにセキュリティ優先だと運用時に支障が出ます。そこを、各自治体の状況に合わせて柔軟に対応してほしい、ということがガイドラインの端々に述べられています。

そして、「情報セキュリティを対策する部署とこれらを担当する部署は、相互に連携をとって、それぞれの対策に取り組むことが求められる。」とあります。連携はとても大事です。お互い一方的に相手はこう、と考えて実施する取り組みは、なかなかハマることが少ないですが、きちんとお互いを理解したうえで対策をしていった方がいいということですね。

そんなことはわかっているが時間がない、という自治体がほとんどだと思いますが、でもこれは、時間を取って話すべきことであると考えます。そうでないと、あとになってお互い大変なことになる可能性があるからです。

基本理念１　組織体制を確立すること

それを象徴するかのように、基本理念の一番最初に「組織体制の確立」が述べられています。

なんとなく「セキュリティを守りましょう」と言っていて守れるのなら苦労はありませんが、大体セキュリティを守る、という行為は面倒くさい手続きとセットです。セキュリティを守るための責任者を決めて、きちんと実行をしていく、という姿勢が大事です。

そのため、最高情報セキュリティ責任者（CISO:Chief information Security Officer）は、「自治体ガイドラインと同一の者（副市長等）が担うこととした。」とあります。ともすれば「学校は学校で」という風に考えがちなところですが、学校のセキュリティも、首長部局と同じ責任者が責任を持つ、という体制を作り、「教育委員会・学校においては、首長部局の情報政策担当部局と密に連携し、情報セキュリティ対策を講ずる必要がある。」と述べています。

ただ、首長部局は学校の事情をよくわかりません。教員だけではなく、児童生徒にもセキュリティを守らせる必要があるため、その部分については、「学校における情報システムの開発、設定の変更、運用、見直し等の権限や情報セキュリティの遵守に関する教育、訓練等については、基本的に教育委員会において責任を持つことを明確にした。」とあります。

適材適所を明確にした、ということですね。

このような形で、基本理念の説明が進んでいきます。

来週は第３章 地方公共団体における教育情報セキュリティの考え方の続きを読んでいきます。