教育情報セキュリティポリシーに関するガイドラインは端から端まで重要なことがつまっています

みなさんこんにちは

今週からは、10月18日に公開されたばかりの「教育情報セキュリティポリシーに関するガイドライン」についてご説明をさせて頂きます。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

ガイドラインイメージ

今回は、「まずはここだけでも必ず読んでおくと非常に参考になる」ポイントを絞ってご説明します。

取り掛かりとして確認していただいて、ご参考になさってください。

 大前提として、「地方公共団体が設置する学校」が対象であり、主に公立の小学校、中学校での策定に関してのガイドラインだということをご了承ください。

 まず、このガイドラインが出された目的として、背景から丁寧に書かれています。
地方公共団体における情報セキュリティについては、「自ら責任を持って確保」するべきもので、情報セキュリティポリシーも各地方公共団体が組織の実態に応じて「自主的に」策定するものである、と定義されています。
あとから全国津々浦々までカバーできるものを策定するのは非常に難しいため、自治体の運用に即してあくまで自主的に定めないといけないよ、ということですね。
 なお、文科省としても「インターネットを接続している学校のうち、95%の割合で、情報セキュリティポリシーが策定されている。しかし、その三分の二は、当該情報セキュリティポリシーを策定後一度も改訂されておらず、ICTの技術的深化に伴う標的型攻撃等の新たな脅威や個人情報保護法等の制度改正等に十分対応できているとは言い難い状況」である、と課題を認識しているため、学校という特別な環境で困ったときに誰でもが手順に従えばリスクが最小限に抑えられるものを策定し、改訂し、運用していく必要があると言っているわけです。
(「2020年代に向けた教育の情報化に関する懇談会」最終まとめ 平成28年7月28日)
http://www.mext.go.jp/component/a_menu/education/detail/__icsFiles/afieldfile/2016/09/29/1377636_02_1.pdf
セキュリティの基礎の考え方
「教育情報セキュリティポリシーに関するガイドライン」公表について
http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdf 13 Pより引用

 そのため、基本方針は総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」http://www.soumu.go.jp/denshijiti/jyouhou_policy/ に基づき策定し、学校を対象とした対策基準については文科省の「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1397369.htm に基づいて策定するというざっくりしたイメージが提示されています。これら二つを合わせて教育情報セキュリティポリシーが成り立つということですね。
 自治体の方針に従うとはいえ、学校では「服務者」ではない児童生徒がたくさんICT機器に触るということだけでも役所の組織とは違いますよね。
更に教育としてICT機器を活用していくことを考えると、あまりに杓子定規に全部ダメでは教育活動に支障をきたす。だから、うまく折り合いをつけて、活用すること、セキュリティを保つこと、の線引きを行わなければならないということです。

 第1章は6Pから13Pまでですが、総則として大原則が書かれています。今回ご説明した内容をまず頭に入れて読んでいただくと、よりスムーズに内容のご理解が進むのではないかと思います。

 次回以降もセキュリティポリシーガイドラインのご説明を続けていきます。

投稿者プロフィール

株式会社ハイパーブレイン
株式会社ハイパーブレイン
株式会社ハイパーブレインです。
教育の情報化に貢献し,豊かな会社と社会を作ります。