教育情報セキュリティポリシーに関するガイドライン(令和6年1月)25

2024年11月25日 2024年11月22日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

５. 人的セキュリティ

何かが起こっては欲しくないですが、人間が業務を実施している以上、何かが発生する可能性は常にあります。

その時に、「しまった、大変なことになるかもしれない。……でも、誰に報告したらいいのか分からない」という時間を過ごしていると、被害がどんどん拡大する可能性があります。ですので、連絡体制は整備して置き、かつ、それを訓練する必要があります。ガイドラインを参考に、連絡体制を整備しておきましょう。

５.５.情報セキュリティインシデントの連絡体制の整備

報告は「義務」にするべきです。人間、自分がやらかしてしまった場合「これくらい黙ってたらバレないし怒られない」というマインドを払拭するのはなかなか難しいでしょう。怒られるのは誰でも嫌です。ですが、「いつか必ずバレるし黙っていたらより怒られる」ということを周知しておくと、一定の抑止力があるでしょう。

そんないい方は嫌だ、という気持ちもわかりますが、仕事に対してどのようなマインドで臨んでいる人にもわかるような説明は必要です。

特に、学校現場には、様々な立場や考え方の人が集まります。最低時給で高度なことを求められている非常勤の勤務形態で、「こんな安くこき使われてその上面倒なことを守らなければならないなんて」と思っている人もいるだろう、という前提で考える必要があります。

学校内からの情報セキュリティインシデントの報告
教職員等の報告義務
住民等外部からの情報セキュリティインシデントの報告
情報セキュリティインシデント原因の究明・記録、再発防止等
支給端末の運用・連絡体制の整備

ガイドラインでは、１について「教職員はセキュリティインシデントを見つけたら、自分で解決するのではなく、速やかに教育情報セキュリティ管理者に報告し、その指示を仰ぐことが必要」とあります。２は、「セキュリティポリシーに違反していたら報告する」とあります。インシデント発生時だけではなく、セキュリティポリシーが守られていなければ報告する、義務がある、ということを確認しておく必要がありますね。

忙しいから仕方がない、あるいは報告するなんてなんか告げ口みたいだ、のようなマインドもよくある話です。だからこそ、「義務」という言葉を使って、「それを報告することがあなたの利益になりますよ」あるいは「報告しなければ不利益になりますよ」ということを説明しておかなければなりません。

また、５は今回追記された部分で、「児童生徒に関しては定期的に報告手順の確認や報告の訓練を実施することが望ましい。」という注意書きもあります。児童生徒だけではなく、教職員も訓練を実施したほうがいいのはもちろんですが、特に１人１台のタブレットを運用するにあたって、「なくした」という話はいつもたくさん聞きます。そういう時にはどうしなければならないか、決めておくこと、訓練しておくことは大事ですね。大人も同様です。

マニュアル等を作成し、周知徹底しておくことが、被害の拡大を防ぎます。

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。