情報資産の分類のヒント満載　教育情報セキュリティポリシーガイドラインを活用してください

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

本日は「２．3情報資産の分類と管理方法」の部分をご説明したいと思います。
情報資産を守るためには、まず情報資産について、どれが一体どれくらい重要なものなのか定義する必要があります。
どんなものでも全部機密として扱えるほど人手や労力があればよいのですが、そうはいきませんね。
通常の仕事でいつも使うものまで機密扱いをしていれば（例えば公表されている他の学校の電話番号一覧等）、普段普通に使うためにも機密文書を取り扱うという手順と作業が必要になり余計な労力がかかります。
ですので、分類を行い、それぞれに必要な管理方法を定めて、機密を守ることと普段の仕事であまりに不便でないようにすることのバランスをとっていかないといけませんね。

情報資産の分類は

• ・機密性
• ・完全性
• ・可用性

の観点が重要になります。
それらを踏まえて、被害を受けた場合に想定される影響の大きさをもとに分類を行い、必要に応じて取り扱い制限を定める必要があります。
　機密性、完全性、可用性それぞれについて、24Pから27Pまで基準が例示されています。
取り扱っている文書がどこに当てはまるのか、例示をもとに考えやすくなっています。
　とはいえ、教職員の理解度等に応じて、以下のような重要性に基づき分類することもある、と示されています。

「教育情報セキュリティポリシーに関するガイドライン」
http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdf　P28より引用

　いきなりあまり難しくしても実情に合わない場合も例示されているのが非常に現場に寄り添ったガイドラインになっています。
　また、より具体的に、文書名も併せて29Pでその文書が機密性、完全性、可用性で考えるとどれに当たるのか例示がされています。
　例えば、持ち出し禁止の文書の中でも特に指導要録の原本は機密性レベル3の「学校で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産」とみなすということがわかるように書かれています。
　また、管理方法についても「責任の所在を明確にし」「台帳を整備することが望ましく」「情報資産の分類の表示を行う」等の手順が解説されています。
情報は作成されてからのライフサイクルの管理も大事ですね。作った文書をずっと保管しなければならないとすると、いくらストレージがあっても足りません。
どの文書はどれだけ保管する必要があり、それらが適切に処理されているかをきちんと管理する必要があることについても述べられています。
　また、それらの情報資産を持ち出す必要がある場合、情報公開を請求された場合のことも考えておく必要がありますね。

　これらについて、このガイドラインを参考に、首長部局と連携しながら教育委員会が定めるのが一番現実的だと考えられます。
　ではここで、作成をはじめよう、となるとまだ「どうしたらいいんだろう」という疑問が大きな状態だと思います。まずは、考え方を頭に入れていく、という観点で読んでいただくのが良いかなと思います。

来週もガイドラインのご紹介をさせて頂きます。