2017.12.08
教育情報セキュリティポリシーに関するガイドライン(2)
今回提示された教育情報セキュリティポリシーに関するガイドラインを
実現するにあたっては、費用も時間もかかると考えられますので、まずできる
ところから考えてみましょう。
教育委員会として最初に取り組むべきことは、情報セキュリティの責任体制の
明確化です。これを明確にすることがまず出発点です。今回のガイドラインでは
危機管理の観点から、最高情報セキュリティ責任者(CISO:Chief Information
Security Officer)は、自治体のガイドラインと同じ人(例文では副市長)が
考えられています。
また、学校の教育情報セキュリティ管理者は校長となっています。これまでは、
コンピューターや情報担当の教員、もしくは管理職と担当教員が管理者となって
いたところが多かったと思われますが、明確になりました。学校の本来業務は
児童生徒の教育を司ることですから、教育委員会が責任を持つべき範囲に
ついても明確にされています。この区分が明確に記載されていますので、役割、
責任分担をはっきりさせましょう。これを機会に、何か問題が発生したときの
エスカレーションの手順なども明文化し、周知徹底しましょう。
学校現場でまずできることは、情報資産の分類です。これは先生方全員で
実施する必要があります。情報資産は、全ての先生が所有しています。
情報資産の分類は、ガイドラインにも記されていますが、学校現場では
それ以外に注意するべきものがあります。それは、正式な帳票となっている
ものではなく、その帳票を作成するための補助簿のようなデータ類です。
その多くは、先生方のコンピューター(自宅の個人所有を含む)や、
机の引き出しに収められています。これらの情報も含めて、情報資産の分類を
行うことで、リスクがどこにあるのかを洗い出すことができます。
それが先生方の情報セキュリティに関する意識の醸成にもつながります。
ISEN副委員長 井上
株式会社JMC
APPLIC(一般財団法人全国地域情報化推進協会) テクニカルアドバイザー。
校務情報化や情報モラルに精通し、文部科学省や総務省の委員会や委託事業にも参画している。