組織体制を整備し、指揮命令系統を明らかにするのは現場の負担感も軽減できます

みなさんこんにちは

「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてご説明をさせて頂きます。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

本日は「２．２組織体制」の部分をご説明したいと思います。
「２．１対象範囲及び用語説明」についてはある程度、教育委員会で勤務された行政職の方でしたら、お読みになればだいたいお分かりいただける言葉ではないかと思います。
範囲についても、15Pの解説が非常にわかりやすいのでご一読ください。異動されてきたばかりの方にとってはとてもわかりやすい解説ですので熟読されることをお勧めします。

さて、組織体制ですが、権限及び責任を明らかにするために規定することが必要であると述べられています。
その通りですね。何か起こったときに誰が何をどう速やかに判断し実行するのか、明らかな組織とそうでない組織とでは初動にとても差が出ます。
例として挙げられているのは以下の図のような組織です

「教育情報セキュリティポリシーに関するガイドライン」P20より引用
http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdf

こんなにたくさんの人がいるのか、という感想をお持ちの方もいらっしゃるかもしれませんが、それだけセキュリティに関しては今後重要視しなければならないものであるということですね。
ここで紹介されているのは以下の7つの立場と、２つの注意事項です。注意事項は「兼務を認めない」ということですね。相互に監視することも重要であるということでしょう。
一人ではできることも限られますし、見逃すことだってあります。それを極力なくしていこうということですね。
また、情報セキュリティに関する統一的な窓口を設置する必要があると言っています。教育委員会だけではなく庁内でインシデント時に素早く対応できるようにしておく必要があるということです。
7つの立場とは以下のものです

• １　最高情報セキュリティ責任者（CISO）　副知事、副市長等庁内を全般的に把握でき、部局間の調整やとりまとめを行うことができる上位の役職者を充てることが望ましい。また外部専門家を補佐としておくことが望ましい
• ２　統括教育情報セキュリティ責任者　CISO不在時に権限の委譲ができるところまで考える必要がある。教育長、副教育長または教育委員会に所属するCIO補佐官等が考えられる
• ３　教育情報セキュリティ責任者　教育委員会事務局の情報セキュリティ担当部局の課長、室長を充てることが想定される
• ４　教育情報セキュリティ管理者　校長を充てることが想定される
• ５　教育情報システム管理者　個々の教育情報システムに関する情報セキュリティ実施手順の維持・管理を行う。教育委員会の情報システム担当化の課長室長等を充てることが想定される
• ６　教育情報システム担当者　5で定義された教育情報システム管理者の指示灯に従う職員等。校務分掌として設定する必要がある場合もある。外部委託先の運用員、ICT支援員等の外部人材に業務を委託する方法もある
• ７　情報セキュリティ委員会　定期的及び必要に応じてCISOが構成員を招集、開催

と述べられています。ですが、小規模の自治体や、教育委員会内に情報システム課が設置されていない自治体も多いことだと思います。首長部局とうまく連携することが必要です。
また、「申請者と承認者が同一」「監査人と被監査部門の者が同一」ということが承認や監査の客観性の担保を阻害する要因になります。ですので、それを兼務しないよううまく配置する必要があるということですね。

具体的にどうしていくのがよいのか、各自治体の実情に合った組織体制にしていくためには、首長部局の情報システム課の協力や、外部専門家の知恵を借りることも考えてみるとよいかもしれません。

来週もガイドラインのご紹介をさせて頂きます。