教育情報セキュリティポリシーに関するガイドライン(令和6年1月)13

2024年7月29日 2024年7月24日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

２. 組織体制

情報セキュリティを守ろう、それでは個人で頑張りましょう、という方法では限界があります。

同じ言葉を使っていても、その解釈は人それぞれです。「クリアデスクをしましょう」と言ったところで、「明日の準備をしてました」「この書類はいつも壁に貼っています」「自分はセキュリティ事故は起こさないので、クリアデスクの必要はありません」など自分なりの解釈が世の中にはたくさん生まれます。

そうすると「自分は頑張って守っているのに、あの人は守らない、ずるい」「守ってる方が仕事をやりにくいので、守らなくていいなら守らない」とすぐにセキュリティは崩壊します。

残念ながら、個人の良心に頼るという方法では、その良心を悪用する存在に、いいように利用されるだけです。責任は誰が取るのでしょうか。例えば、個人情報を漏えいした教員その人に取らせますか？　それは「組織的な対策を実施していなかった組織の問題」として捉えられ、結局教育長が責任を取る必要が出てくるでしょう。

つまり、世の中の大半は、「セキュリティには組織的に取り組まなければならない」という認識であり、そのためには組織を整備しておく必要があるということです。

重要なことは、

一元的な管理

です。特に教育委員会や学校は、自治体内で「特別」視される傾向があると思います。が、何度も申し上げている通り、教育情報セキュリティポリシーを策定していない限り、自治体のセキュリティポリシーが適用され、とんでもないルールを守らなければならない（名前はインターネット上に出してはいけないというポリシーが設定されていれば、インターネット上での子どもたちが「1年1組1番」と名乗らなければならない等）ことになります。

一元的に管理するということは、最高情報セキュリティ責任者（CISO）以下、きちんと組織立っており、教員からインシデントの報告があればすぐにCISOまで状況が把握できるという状態であるということです。

ガイドラインでは、それぞれの立場や注意事項についてページを割いて説明してあります。ここに書かれてあることは必要最低限の「組織を成り立たせるための」注意事項です。これから組織を検討される行政職の方、小さな自治体でもう一度見直される方、新たに教育情報セキュリティポリシーを策定しようとされている方は、ここに書かれていることをご参考ください。

組織としての例示は以下の通りです。