教育情報セキュリティポリシーに関するガイドライン48

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料 1.11.クラウドサービス活用における個人情報について

個人情報保護条例は、全国の地方公共団体でそれぞれ定められ、大体のところは同じでも、細部が微妙に異なるなど、対応に非常に繊細さが求められてきました。

それを、今般の法改正では「全国的な共通ルールを規定するとともに、個人情報保護に万全を期すため、個人情報保護委員会が、公的部門を含め、個人情報の取扱いを一元的に監視監督する体制を確立することとなった。」とあります。

福岡県のサイトにわかりやすい解説が掲載されています。

福岡県によると、令和5年4月1日施行のいわゆる「改正個人情報保護法」で、全国同一の法の規律によって取り扱われることとなり、個人情報保護委員会が全体を所管することとなった、とあります。

法の施行前は、地方自治体の個人情報を取り扱う場合、個人情報保護審議会への諮問答申が必要な場合が多くありました。ガイドラインによると、法の施行後は「「特に必要である」ときに限って認める」ことになるとのことです。

ガイドラインでは、個人情報保護審議会に諮る上で整理すべき項目の例が7点あげられています。これは、個人情報保護審議会に諮るためだけではなく、意識しておけば判断に困らないものであるので、参考として掲載しておきます。

  • クラウド活用の目的
  • システムの対象範囲
  • 本人(保護者)同意の要否
  • セキュリティリスクに対する技術的対策
  • インシデント発生時の責任分界点の明確化(クラウド事業者側の体制含む)
  • クラウド事業者の二次利用に対する対策
  • クラウド事業者の第三者認証取得の有無

来週は参考資料の続き、1 人 1 台端末におけるセキュリティについて読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。