教育情報セキュリティポリシーに関するガイドライン52

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.13.2. 自己点検

監査も重要ですが、自己点検もとても大事です。監査をするには準備も資金も大変です。ガイドラインでも「情報セキュリティポリシーの履行状況等を自ら点検、評価することは、情報セキュリティポリシーの遵守事項を改めて認識できる有効な手段である」とあります。

「自己点検を定期的に実施する規定を設け、その活用方法とあわせて規定する。」ことはセキュリティという、「守らなければならないことは理解しているがとても面倒くさい」ことについて、強制的にやる仕組みとして、必要なものだと考えます。

例文が３つあるので確認しましょう。少し長いのですが、引用します。

（１）実施方法

• 統括教育情報セキュリティ責任者及び教育情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。
• 教育情報セキュリティ責任者は、教育情報セキュリティ管理者と連携して、所管する部局における教育情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じて自己点検を行わなければならない。

（２）報告

統括教育情報セキュリティ責任者、教育情報システム管理者及び教育情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。

（３）自己点検結果の活用

• 教職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
• 情報セキュリティ委員会は、この点検結果を情報セキュリティポリシー及び関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

---

（１）では頻度にも言及しています。毎日というのは極端ですが、年に１回くらいは、自己点検したほうが良いと思います。セキュリティに関しても日進月歩、昨日の常識がすぐ非常識に変わる世界です。教育情報セキュリティポリシーに関するガイドラインも、約１年毎に作り直されていますので、最新の情報を得るためにもこれくらいの頻度は必要です。

また、点検を実施したら、それを報告としてまとめて、情報セキュリティ委員会に届けることもとても重要なことです。あまりにセキュリティが厳しすぎて、現場が困っていないのか、あるいはセキュリティが甘い部分が見つかった場合、現場任せでうまく改善できるのか、と言ったことを専門的に取り扱うチームは必要ですね。

（３）では、点検したらしっぱなしではなく、教職員等はそれを活かして改善できる部分は改善し、情報セキュリティ委員会は、ポリシーの見直しに活かす必要があるということですね。報告した結果、何等か変わりました、というのなら報告のしがいもありますが、何も変わらないとなれば、報告する意義がありません。

来週は参考資料の続き、教育情報セキュリティポリシー及び関係規程等の見直しについて読んでいきます。これでラストです。