教育情報セキュリティポリシーに関するガイドライン(令和6年1月)12

皆さんこんにちは。

2024年1月(令和6年1月)教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第2編 教育情報セキュリティ対策基準(例文・解説)

1. 対象範囲及び用語説明

ここからは、具体的にセキュリティポリシー等を書くなら、ということで例文をあげて解説がされています。そのままコピーするのではなく、趣旨の説明やそれぞれの解説を読んで、ご自分の自治体に合ったものにする必要があります。

一番最初は、「対象範囲と用語説明」を書く必要があるという内容です。

どうしてそれをしなければならないのか、という説明は趣旨として「情報セキュリティポリシーを適用する行政機関等の範囲、情報資産の範囲及び用語を明確にする」とあります。

そんなの学校なんだからいちいちやらなくても大丈夫だろうと思われるかもしれません。ですが、学校にはたくさんの「先生ではない大人」が働いています。ICT支援員、司書、ALT、カウンセラー、スクール・サポート・スタッフ、部活動指導員……自治体によって更に様々な大人が関わっているでしょう。PTAが学校にたくさん関わる自治体もあるはずです。

さて、これらの人たちは教育情報セキュリティポリシーガイドラインの対象者でしょうか?

定義していない限り、対象者ではない、と考えられる可能性があります。

これらの先生ではない大人(ほぼ非常勤)がポリシーを守らず事故を起こした場合、責任を取るのは誰でしょうか。定義されていなければ、それは学校の管理職になることが多いです。

そもそも、定義されていない場合、これらの大人はセキュリティポリシーがあることすら知らされず、何をどのように守ればよいか、という教育を受けることはほぼないといっていいでしょう。それはとても怖いことだと思いませんか?

ガイドラインでは

  • 行政機関等の範囲
  • 情報資産の範囲

が定義されています。これらを取り扱う人は、全員セキュリティポリシーを知っていないといけない、という前提ですね。行政機関等の範囲は、

「本対策基準が適用される行政機関等は、内部部局、教育委員会及び学校(小学校、中学校、義務教育学校、高等学校、中等教育学校、特別支援学校を言う。以下同じ。)とする。」と例文があります。おそらくこれでほぼ網羅できているのだろうな、という文言です。

情報資産の範囲としては

  • 教育ネットワーク、教育情報システム、これらに関する設備、電磁的記録媒体
  • 教育ネットワーク及び教育情報システムで取り扱う情報(これらを印刷した文書を含む。)
  • 教育情報システムの仕様書及びネットワーク図等のシステム関連文書

とあります。注釈として、「文書一般を情報資産に含めなかったのは、従来電子データ等の管理と文書の管理が、一般に異なる部署、制度によって行われてきた経緯、実態を踏まえたものである。」となっています。それはそうですが、「情報セキュリティ対策が進んだ段階では、全ての文書を情報セキュリティポリシーの対象範囲に含めることが望ましい。」とあるように、紙で保存してきたからセキュリティポリシー範囲外、はなかなか理解がされないものだと思います。

一度セキュリティポリシーを策定すると、改訂のサイクルを確立しない限り、変更はとてもハードルがあがる、という場合があります。毎年見直して改訂する、というのが理想ですが、そうでない場合は、情報資産の範囲について議論をお願いいたします。

また、「本対策基準における用語」はとても大切です。情報化の歴史を紐解くとそのような状態になっても仕方ない、ということはわかるのですが、同じ言葉が先生によって違う意味に使われている、という場面にかなり遭遇します。

ガイドラインの例示では「校務系システム」は「校務系ネットワーク、校務系サーバ及び校務用端末から構成される校務系情報を取り扱うシステム。及び、校務系情報を扱う上で、適切なアクセス権が設定された領域で利用されるシステム」とあります。

定義しない場合、「校務系で取り扱っているシステム」と解釈して、例えば「校務系パソコンで学校Webサイトの更新をしている」場合に「Webサイトの情報は校務系システムだから守らなければ」という考えに陥ることもあります。

ですので、セキュリティポリシーで使う用語はこの意味ですよ、という一覧表はぜひとも作成し、誰でも見られる状態にしておくことが重要だと思います。用語と情報資産の例は、ご自分の自治体でどのようになっているか、必ず定義されておくことをお勧めします。

来週は教育情報セキュリティポリシーに関するガイドライン(令和6年1月版)第2編 教育情報セキュリティ対策基準(例文・解説)の続きを読んでいきます。

投稿者プロフィール

大江 香織
大江 香織
株式会社ハイパーブレインの取締役教育DX推進部長 広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。