教育情報セキュリティポリシーに関するガイドライン(令和6年1月)14

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編 教育情報セキュリティ対策基準（例文・解説）

２. 組織体制

組織体制には、11種類の項目が示されています。

1. 最高情報セキュリティ責任者（CISO: Chief Information Security Officer「CISO」）
2. 統括教育情報セキュリティ責任者
3. 教育情報セキュリティ責任者
4. 教育情報セキュリティ管理者
5. 教育情報システム管理者
6. 教育情報システム担当者
7. 情報セキュリティ委員会
8. 兼務の禁止
9. 情報セキュリティに関する統一的な窓口(「庁内のCSIRT（Computer Security Incident Response Team）」 の設置
10. 教職員等
11. 教育委員会事務局職員

１から７までは、その立場の人や組織がどのような役割を担うのか説明があります。それぞれ、どのようなものかご担当者様は頭に入れておくといいのではと思います。困ったり迷ったりしたら、ここに書いてあった、ということを思い出していただければ大丈夫です。

８にある「兼務の禁止」はここにきちんと書いておくことが必要ですね。地方に行くほど人手が足りませんから、セキュリティについて少し詳しい人がいると、では１から６まで全部よろしく！！！　と押し付けられる可能性があるからです。

また、９の窓口は、「情報セキュリティで何か困った」ら、ここに連絡するという窓口を決めておけば、「どこに連絡すればいいかわからない」と無駄な時間を浪費することがありません。セキュリティ事案は時間との戦いですから、どこだったっけ、誰に聞いたらいいかわからない、聞いたら怒られるから嫌だなあ、などという理由で対応が遅れてはならないのです。

10と11はこのバージョンで付け加えられたものです。教職員も、教育委員会事務職員も、例外なく情報セキュリティについて守らなければならない、と書いてあります。

自分のことは棚に上げて、ということは度々起こることですね。「学校には守らせるけど、教育委員会内では守っていない（なぜならみんなそんなことしないから）（そんなことを守る手順が大変だから）」ということ、あるいは逆もありますが、そういうことは今後なくしていかなければならない、ということです。

来週は教育情報セキュリティポリシーに関するガイドライン（令和6年１月版）第２編 教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。