教育情報セキュリティポリシーに関するガイドライン41

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料 1.9.3 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項

クラウド利用者の側が、事業者を評価することの重要性が書かれています。まあ大丈夫だろう、ではなく、このガイドラインであげられているようなことをきちんと確認しましょう、ということです。

「クラウド利用者は、クラウドサービス及びクラウド事業者が保有するセキュリティリスクを踏まえ、自ら実施するセキュリティ対策と総合して関係法令、教育情報セキュリティポリシーが遵守できるかを評価する必要がある。」とあります。担当になると、まずはセキュリティに関する関係法令や教育情報セキュリティポリシーが理解できる必要があり、また、クラウド事業者に対して見る目を持つ必要がある、ということですね。その見る目については補足として「クラウド事業者の選定においては、1.9.1(5)で例示した認証規格を参考にすることで、情報セキュリティの確保等が適切に行われていると判断することが可能である。」とあります。

1.9.1(5)で例示した認証規格とは、以下のものになります。

  • ISO/IEC 27001(情報セキリュティマネジメントシステム)
  • ISO/IEC 27002(情報セキリュティマネジメントシステム)
  • ISO/IEC 27014(情報セキリュティガバナンス)
  • ISO/IEC 27017(クラウドサービスの情報セキュリティ) https://isms.jp/isms-cls/lst/ind/index.html
  • ISO/IEC 27018(クラウドサービスにおける個人情報の取扱い)
  • 米国 FedRAMP https://marketplace.fedramp.gov/#/products?status=Compliant
  • AICPA SOC2(日本公認会計士協会 IT7 号)
  • AICPA SOC3(SysTrust/WebTrsuts)(日本公認会計士協会 IT2 号)
  • JASA クラウドセキュリティ推進協議会 CS ゴールドマークhttp://jcispa.jasa.jp/cs_mark_co/cs_gold_mark_co/
  • ASP・SaaS 安全・信頼性に係る情報開示認定

資格があれば絶対安心というわけではありませんが、資格がないより、その資格が規定している基準をクリアしている、ということを第三者に証明してもらっているというのは説得力があります。

それでは、例文をいくつか読んでいきましょう。

守秘義務、目的外利用及び第三者への提供の禁止

例文自体は一つです。何度も繰り返しお伝えしていますが、しない「だろう」ではなく、きちんと取り決めを行っておくことが重要です。

  • クラウド利用者は、クラウド事業者と契約時に守秘義務、目的外利用及び第三者への提供の禁止条項を締結しなければならない。クラウドサービス事業者がコンテンツにアクセスできるかどうかを確認し、サービスに係る情報及び受託した情報に関する守秘義務、目的外利用及び第三者への提供の禁止条項について、サービス提供に係る契約に含めなければならない。契約には、当該条項に違反したクラウドサービス事業者に対する損害賠償規定を含める。
準拠する法令、情報セキュリティポリシー等の確認
  • クラウド利用者は、クラウド事業者がどのような規範に基づいてサービス提供するか開示を求め、クラウド利用者の準拠する法令、情報セキュリティポリシーを確認し、それらとの整合を確認しなければならない。(クラウド事業者の準拠する認証制度、個人情報保護指針、プライバシーポリシー、情報セキュリティに関する基本方針及び対策基準、保守運用管理規程等)

準拠する法令、というのは、「日本の法律に従っているのか、他の国の法律に従っているのか」確認する必要がある、ということです。日本の法律としてはアウトでも、他の国だとOKというようなこと、あるいはその逆はよくある話です。必ず確認が必要だということですね。

クラウド事業者の管理体制
  • クラウド利用者は、クラウド事業者に対して、情報セキュリティポリシー等の遵守を担保する管理体制が整備されているか、クラウド事業者の組織体制を確認し、合意しなければならない。

確認すべき項目例を下記に示す。

  • (ア)サービスの提供についての管理責任を有する責任者の設置
  • (イ)情報システムについての管理責任を負い、これについて十分な技術的能力及び経験を有する責任者(システム管理者)の設置
  • (ウ)サービスの提供に係る情報システムの運用に関する事務を統括する責任者の設置

管理体制については確認が必要です。「上司が知らない間に勝手に部下がやりました」というインシデントが発生しては困りますね。

そんなに確認することが必要なのか、昔はよかった、みたいな話をよく聞きますが、お互い相手のことを思いあって、こうしたら喜ぶだろうな、という関係でやっていくためには、お互いに余裕が必要です。とはいえ、自治体では「1円でも安く、無駄を削る」という予算の組み方になりがちですから、それに対して「余裕ある対応を」と求めることが難しい面もありますね。

来週は参考資料の続き、パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項について読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。