教育情報セキュリティポリシーに関するガイドライン16

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.5. 人的セキュリティ

どんなにシステムを便利にし、セキュリティ対策を実施しても、人間が運用している以上、ミスや間違い、あるいは悪意によってセキュリティは簡単に崩れてしまいます。

だからといって人的対策をするのは無駄かというと、そうではありません。少なくとも、勘違い、間違い等については確実に減らすことができますし、誤った知識のせいで図らずも加害者になってしまった、という悲しい出来事も減らせます。

悪意のある人に対しても、「どんな手を使っても必ずこの情報を盗み出してやる」という決意を持っている人はそれほど多くなく、「このタイミングなら情報盗めるんじゃね？」みたいな偶然が重なった時間帯が長ければ長いほど、リスクが高まるという認識を持っていただければと思います。

大きく分けて

• 教職員への遵守事項
• 非常勤・臨時教職員への遵守事項
• 外部委託業者等

への対策が必要です。例文が示されていますので参考にしてください。また、追記部分としてはクラウドについての項目や、アクセス制御に関して「負担になりすぎないよう」考慮することが述べられています。

また、どのような立場であったとしても、自治体の情報セキュリティポリシーは必ず理解しておかなければなりませんから、「閲覧できるように提示しなければならない」と例文もはっきり言い切っています。

また、教職員は「児童生徒への指導」が必要になります。指導事項について例示されていますので、参考にして、自治体の実態と合わせて考えていく必要があると思います。

８個あげられていますが、例文なので簡潔に言うため「べからず集」になっている感があります。実際に先生方が指導する際は、「してはいけません」という指導より「こうしていこう」という指導の方が子どもたちに受け入れられやすいです。

例えばこの例文はきっと受け入れられやすいです。

• モバイル端末やUSBメモリ等を、学校外に持ち出す場合は、担任の許可を得ること。

とはいえ、

• モバイル端末等のソフトウェアに関するセキュリティ機能の設定を、許可なく変更してはならないこと。

をどうやって肯定的に言い換えるんだ？　という疑問もごもっともです。

条文としてはこのように書いたほうがわかりやすいです。子どもたちに話をするときに「セキュリティ機能の設定は、あなたたちを守るための設定です。先生が知らない間に変更しちゃうと、いざというときに先生が守れなくなっちゃうから、この約束は守ってね」というような言い方をしたほうが伝わりそうです。

ここは、子どもに伝えるプロの先生方の知見をお借りして、とにかくセキュリティを守る意識を少しでも高めることが重要ですね。

例文を読んでみましたが、これらを「読んでおいてね」で理解できるようになる人はごく少数でしょう。

来週は参考資料の続き、研修について読んでいきます。