教育情報セキュリティポリシーに関するガイドライン(令和6年1月)24

2024年11月18日 2024年11月18日大江香織

大江香織

皆さんこんにちは。

2024年1月（令和6年1月）教育情報セキュリティポリシーに関するガイドライン改訂版が公開されました。

平成29年10月に第1版が公開されて以降、時代の要請にあわせて何度か改訂が行われてきました。令和4年3月以来約2年ぶりの改訂です。セキュリティ、と聞くと身構えてしまいがちですが、今後の世界を生き抜くためにはどうしても必要な知識となります。過剰に恐れることなく、甘くみて大変なことになることもなく、ちょうどよい塩梅をご自分で見つけられるよう、まずはガイドラインに触れていただきたいと思います。

今回も見え消し版を使いながら、ご一緒にゆっくり読んでいきましょう。

第２編教育情報セキュリティ対策基準（例文・解説）

５. 人的セキュリティ

教育委員会事務局職員は、首長部局から異動してきた職員と、学校から異動してきた職員が一緒に働いている状況です。

学校から異動してきた職員のところには、学校からひっきりなしに電話がかかってくるということも多いですね。日中仕事できないくらい電話対応をしている指導主事もいらっしゃいます。学校の日常は首長部局では想像できないような状況であることも多いですね。一番の違いは「学校には子どもが一番多くいる」です。大人なら掲示して「読んでない方が悪い」ということもできますが、子ども相手にはそういうわけにもいきません。

学校は忙しいです。そして、セキュリティを高めようとすれば、業務の利便性が低下します。つまり、学校にとって「セキュリティが大切なことは分かっているけどなんでこんな煩雑なことを」となりやすいということですね。また、１回研修を受けたくらいでは人間身につきませんし、忘れます。繰り返し重要性を伝える必要があります。

５.３. 教育委員会事務局職員の遵守事項

「学校の情報資産にアクセスできる立場にあることを鑑み、遵守規定を示す。」とガイドラインにある通り、教育委員会事務局職員は、学校の情報資産にアクセスすることができます。ですので、教育情報セキュリティポリシーと、自治体の制定するセキュリティポリシーの両方を理解しておく必要があるということですね。

学校は、教育情報セキュリティ管理者が教職員等を管理・指導する立場であると決められています。その学校の資産にアクセスすることのできる教育委員会事務局職員の情報セキュリティ順守については、教育情報セキュリティ責任者が担うこととする、というように、ガイドラインでは、隙間になりがちなこともフォローされています。隙間を完全になくすのは難しいですが、できる限りふわふわしている状態はなくしておきたいですね。

５.４. 研修・訓練

「教職員等が業務を優先することが、情報セキュリティ対策の軽視につながることもある。」とガイドラインにもある通り、先生は忙しすぎて、「なんでこのファイルにアクセスできないの今すぐこのファイルが必要なんだけど！！」という時に、どういう手順を取るか、ということですね。規定では「アクセス権の変更を書面で依頼する」となっていたとして、それが守られるのか、ということです。実務とあまりにかけ離れた手順は改めるべきですが、それはきちんと手順を踏んで改め、それまでは従う必要があります。

そういう風に考える、ということはきちんと教育・研修が必要です。これは、大体「やらなきゃいけないからやるけど積極的にやろうとはなかなか思わない」と心の中で思っている人も多いでしょう。ですので、「セキュリティポリシーに研修や訓練の計画・サイクル」まで定義しておくと「書いてあるからやりましょう」と言いやすいですね。

セキュリティを高めていくということは、理解と納得が重要になります。計画やポリシーだけ立派でも、運用する人が納得しておらず、手順を守らなければセキュリティは保たれません。

ハイパーブレインでは、研修や訓練のサポートをさせていただけます。困っていらしたら、ぜひご相談ください。

来週は第２編教育情報セキュリティ対策基準（例文・解説）の続きを読んでいきます。

投稿者プロフィール

大江香織: 株式会社ハイパーブレインの取締役教育DX推進部長　広報室長です。
教育情報化コーディネータ1級
愛知教育大学非常勤講師です。専門はICT支援員の研究です。

教育情報セキュリティポリシーに関するガイドライン(令和6年1月)24