教育情報セキュリティポリシーに関するガイドライン51

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.13.1. 監査

監査、と聞くと身構えてしまいますが、点検という意味で非常に重要なものになります。人間はミスをする生き物なので、悪気無くミスをしていたり、勘違いをしていたりします。また、本当に悪意がある場合を除き、「魔が差した」などを防ぐ役割もあります。

また、「きちんと仕事をしていることを他人が評価、証明する」というのは、モチベーションアップにもつながりますね。

ガイドラインでは監査について8項目述べられています。

• 実施方法
• 監査を行う者の要件
• 監査実施計画の立案及び実施への協力
• 外部委託事業者に対する監査
• 報告
• 保管
• 監査結果への対応
• 情報セキュリティポリシー及び関係規程等の見直し等への活用

監査を行う者として、「専門的知識を有していること」「監査の対象となる情報資産に直接関係しない者」「監査に必要な情報へのアクセス等の権限が明確に与えられる」と同時に「監査人等が取り扱う監査に係る情報について、漏えい、紛失等が発生しないように保管」などの注意事項が述べられています。

また、抜き打ちで監査を行うことも時々は必要だとは思いますが、事前に予告して様々な資料を揃えておいてもらい、確認するのも一つの方法です。資料の保存状況がセキュリティポリシーに定められている通りになっているか等も併せて確認することができます。

監査を実施して、「できている」「できていない」を明らかにするとともに、できていないことについて責めるのではなく、「なぜできていないのか」「どうしたらできるようになるか」を考えていくきっかけとすることも重要です。何でもやったらやりっぱなしというのが一番効率が悪いです。

なお、学校で情報資産に対する監査、というのはほとんど行われたことを聞きません。本来必要なものである、という認識を行政職の皆様には持っていただければと思います。

情報セキュリティ監査の実施方法等については、「地方公共団体における情報セキュリティ監査に関するガイドライン」（令和4年13月版　 総務省）及び「地方公共団体情報セキュリティ管理基準解説書」（平成17年2月 総務省）※インターネット上に見当たらないので、見かけた方は教えてください　を参考にすると良いということが、ガイドラインで述べられています。

来週は参考資料の続き、自己点検について読んでいきます。