人的セキュリティは、学校ならではの環境を理解すればより強固になります

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。
だんだん説明事項も増えてきますが、どの内容も必要最低限を厳選されていますので、がんばりましょう。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

セキュリティイメージ

本日は「2.5人的セキュリティ」の部分をご説明したいと思います。

最初に、「教職員等の遵守事項」が述べられています。
教職員が取り扱っている情報は非常に機微な情報が含まれています。
行政職の皆さんも、どのような情報が取り扱われているかご存知だと思いますが、役所では様々な部署で取り扱われるような内容も、学校では先生がまとめて取り扱っていることがあります。
それらの情報を先生が知っていなければ教育活動に支障が出る場合も考えられますが、セキュリティに関して専門家ではない先生にも守ってもらわなければならないことを理解していただく必要があります。

 それは裏返せば、「守ってもらいたいことは明文化しておく必要がある」ということですね。

 また、学校には正規教職員以外にも非常勤職員や臨時職員、外部委託業者や派遣社員等様々な人がいます。
教育活動の円滑化を考えると多くの職員が同じ情報を共有することは必要ですが、セキュリティの観点から考えると情報の機密性や閲覧範囲を明確にしておくことが必要です。
 P44からP46には例文が載せられていますので、参考にしていただければと思います。

 また、児童生徒に対してもセキュリティの指導を行っていかなければなりません。
職員ではないのであくまで指導になります。その中でもこれだけはという例文がP46、P47にあるので解説とともに確認しておくと行政職の皆さんも学校でのセキュリティの理解が深まると思います。大人だけのことを考えていればいい環境ではないことを行政職の皆さんが理解しておいていただくと、学校現場も多少煩雑なセキュリティポリシーだったとしても受け入れやすいのではないでしょうか。

 ただ、いくら明文化したりわかりやすい文章を作ったりしても、運用する立場の人たちにその意図が伝わっていなければ守られません。
 そのためには研修や訓練が欠かせません。そしてそれは、効果的な時期に効果的な内容をできるだけ短時間で行う必要があります。
それを理解して、一律の研修が必要な時、それぞれのステージに応じた研修が必要な時などを使い分けていく必要がありますね。
「インシデント発生時にどのように報告するか」など、決めていても現場が理解していなければ機能しないことは研修で補っていく必要があります。

 行政職の皆さんが、セキュリティを守るために現場を理解する気持ちがあれば、より強固なセキュリティ対策ができます。
このガイドラインを参考に守らなければならないことを明文化し、理由を説明し、現場がそれを守るメリットを理解できれば、セキュリティインシデントの発生をより少なくすることができると思います。

来週もガイドラインのご紹介をさせて頂きます。

投稿者プロフィール

株式会社ハイパーブレイン
株式会社ハイパーブレイン
株式会社ハイパーブレインです。
教育の情報化に貢献し,豊かな会社と社会を作ります。