外部専門家に頼む場合の確認事項12点が解説されています

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。専門家に頼む際の注意点は必見です。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

本日は「２.８外部サービスの利用」の部分をご説明したいと思います。
情報システムを外部委託するのはセキュリティ確保が心配なことも多くありますね。実際に民間業者と一緒に仕事をする、と言った場合守秘義務の範囲等確認したいことも多いのではないでしょうか。
　しかも、何を確認したか、していないか見落としはないか心配になります。契約書に書いていないことは実行されないのですから、念には念を入れたくなる気持ちになりますね。
　100Pから108Pまでと短めですので、ぜひ全部に目を通していただくと、不安も少なくなってくると思います。

　専門家に任せるべきところは任せて、より高度なセキュリティを実施したいと思っても、その専門家がどこにいるのか、ということはずっと申し上げてきたとおりなかなか出会えないというところはあるかと思います。
　ただ、やはり、地元の情報セキュリティを守るのですから、地元にそういう業者がいないか、近隣の自治体ではどのような業者と契約しているか等調べることは有効です。
　その上で、100Pの選定基準、契約項目を元にじっくりとヒアリングするのがよいのではないでしょうか。
　情報システムを委託することができる業者なら100Pの契約項目について一つ一つ質問すれば、明解に答えを返すことができるはずです。

　ISO／IEC27001の取得も重要な指針の一つです。　セキュリティに関するメジャーな規格を持っているということは、それだけ「外部から審査されてそうだと立証されている」わけですから安心感も高まります。
　ホスティングサービス等に関しても、どこまでが誰の責任なのか、明確に事前に提案してくれる業者は安心ですね。
　契約項目に関して12の具体的な例が提示されていますが、これは必要最低限です。繰り返しになりますが、これらを契約項目に盛り込まなければならない理由を、これらを契約できる業者なら説明できるはずです。
　皆さんの疑問をすっきり解消してから契約されることをおすすめします。
　プロポーザルにしても、入札にしても、業者にヒアリングを行う時間を十分にとってお考えいただくと良いかと思います。

　また、外部サービスやSNSも、自治体自身が使用する場合、委託業者が使用する場合を想定して契約に盛り込んでおく必要があります。
　様々な便利な外部サービスがありますが、何をどのように使用するのか、委託業者がどう使っているのか、説明を受けておくと安心に繋がってきます。

来週も引き続き、ガイドラインのご紹介をさせて頂きます。