教育情報セキュリティポリシーに関するガイドライン12

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料 1.2. 組織体制

組織体制については、かなりページを割いて説明がなされています。

体制を整えるということは、「一元的に情報セキュリティ対策を実施する必要がある。このことから、情報セキュリティ対策のための組織体制、権限及び責任を規定」とあるように、組織としてどのように動くか、それぞれのポジションでの権限とその責任はどこか、ということを明確に決め、それが一本の木につながるようになっていないと難しいということですね。

何か起こった時の連絡経路など、定めておかなければ「誰に伝えるか」で時間をロスして対策が後手後手に回ることも考えられます。

また、そのための必要な人員や予算を確保することもとても重要です。学校現場では「先生が頑張ったら何とかなる」ことに対して極力予算をかけないようにしよう、という傾向が見られますが、これは間違いのもとです。行政職の皆様もその点を加味頂き、「他の首長部局との予算折衝」において、あまりに分配されない教育委員会予算、という現象は減らしていきたいものですね。

何度も申し上げていますが、現在学校に何台パソコンがあるのか正確にわかっている首長部局の方、議員の方はどれくらいいらっしゃるのでしょうか。

役所にあるパソコンの数に比べてけた違いに多い学校のパソコンのセキュリティを守るための予算は「増額されません」では済まされません。「先生が頑張って子どもたちを指導してください」で解決は絶対にしません。お金をかけてソリューションを選定して入れ、体制を整備し、必要な人員を配置する必要があります。

「今までそれでやれてこれたんだから」と言って何も対策をしないままだと、大きな事故につながるか、先生が疲れて目が行き届かなくなり、結局自治体の将来を担う子どもたちに満足な教育を受けさせられない、ということにつながりかねません。

GIGAスクール構想で子どもたちが一人1台タブレットを持ちました。

タブレットの保守点検整備やそれを使っての新しい授業スタイル、新学習指導要領で繰り返し述べられている個別最適な学びと協働学習、そして「誰一人取り残さない」教育。先生方には新しいことをどんどん実施するように要求がされています。

もちろん、「今までやっていたことができるようになったら新しいことをどんどんやる」というのは強くなるために(何に?)必要なことですから、停滞はされるべきことではありません。ただ、「今までやっていたことがあまりに多すぎていろいろ取りこぼれているのにさらにどんどんどーーーーんと荷物を積まれました」という状態で、誰が幸せな状況になるのでしょうか。

体制の整備には、お金の整備も併せて必要です。行政職の皆様は、どうぞそのことを頭の片隅に置いておいていただけるとありがたいです。

それを踏まえて、ガイドラインの体制図を改めて見てみましょう。

情報セキュリティ組織推進の体制例
教育情報セキュリティポリシーに関するガイドライン(令和4年3月) https://www.mext.go.jp/content/20220304-mxt_shuukyo01-100003157_1.pdf P28より引用

首長部局のCISO(副市長等)の補佐CIOが、教育委員会の上流にいます。教育委員会は統括情報セキュリティ責任者をトップに置き、情報システム担当課室長(責任者)が支えるという仕組みですね。教育委員会のトップについては「情報セキュリティインシデント発生時等の緊急時には、統括教育情報セキュリティ責任者が中心となり被害の拡大防止、事態の回復のための対策実施、再発防止策の検討を行う必要がある。」ことから、教育長、副教育長又は教育委員会に所属するCIO補佐官等が任ぜられる例として挙げられています。

教育長は全国平均で60歳を超えていますから、教育長と限定するのではなく、権限があり、判断ができ、インシデントに対する理解がある具体的な人物像を思い描いて自治体の実態に合わせて選任する必要がありますね。

教育委員会の中で、「教育情報システム担当課室職員」も重要です。責任者や管理者ばかりいても、実際の業務を自治体全体を見て実施する人が必要です。アカウントの発行や管理等学校毎ではなく自治体全体を把握して業務を実施する人員は絶対に必要ですね。

学校は校長が教育情報セキュリティ管理者となり、教職員は学校教育情報セキュリティ・システム担当という位置づけの図です。

ご自分の自治体では、具体的に誰がその任務にあたるのが良いのか、想像できると良いですね。

来週は参考資料の続きについて読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。