学校でセキュリティを守り、身を守るために
守ることのできるルールを作るのはみんなとても助かります。
学校のセキュリティの基本的な考え方
学校で、どのようなルールを守ったらいいのか、ということを先生が一人ずつ考えるのは大変すぎですし、学校1校毎に考えているのも生産性が高いとはいえません。
自治体単位で決めることが基本です。
そのうえで、おおまかな体系として
- 基本方針:各地方公共団体の情報セキュリティ対策における基本的な考え方を定める
- 対策基準:基本方針に基づき全ての情報システムに共通の情報セキュリティ対策の基準を定める
- 実施手順:対策基準に基づき具体的なシステムや手順、手続に展開して個別の実施事項を定める
※「基本方針」と「対策基準」を総称して「情報セキュリティポリシー」という
という考え方に基づいて「情報セキュリティポリシー」を定めることになっています。
ちょっと難しいなあ、と思われるかもしれませんが、これらは会社や役所に大体共通の考え方ですので、読んでおいて損はありません。
ルールの範囲
どんな物事も、ルールの範囲がないととても大変です。学校のセキュリティのルールを決める「教育情報セキュリティポリシー」は、どの範囲のルールか、ということを決めておかなければ、「子どもの保護者である親の集まりに適用されるかされないか」だったり「子どもを通して先生からいただいた手紙の保管ルールに適用されるかされないか」だったり、人によって解釈が分かれてしまいがちです。
どういう風に定義されるかというと、
・情報セキュリティの観点から守る対象として、学校で扱う情報資産(校務系情報、学習系情報)を想定
というように、言語化することが大事です。
もうちょっと詳しく言うと、
・情報資産のセキュリティを確保するためには、学校が保有するデータそのもの及びそのデータを生成・保管・流通する媒体(紙、ネットワーク、サーバ、端末等)の両方をセキュリティ侵害から守り、情報漏洩を防止することが必要であり、これら全てが対象範囲となる。
という定義をしておくといいということですね。
守ることのできるルールにするためには
とはいえ、そんな難しく言われるとわからない、という人もいると思います。
ルールを定めても守れないのならまさしく絵に描いた餅。
守ることのできるルールにするための努力はみんなでしていく必要があります。
- まず、ルールを読む
- 分からないところを身近な人に聞く
- 身近な人も分からなければ権限のある人に聞く
- 権限のある人も分からなければ、ルールを決めた人に聞く
- ルールを決めた人は説明をする
ルールを決めた人だけに何でもおんぶにだっこではなく、頑張って考えたけどわからなかったから、と聞く姿勢は物事をスムーズに進めるために必要ですね。
自分にわからないルールを作るのがダメだ! というような意見が通ってしまうと、弱肉強食の世界となり、結局まわりまわって自分が損します。
今、相手を言い負かして気持ちよくなっても、それが自分の首を絞める発言であることはよくあります。
理不尽なルールは変えていく必要がありますが、基本的にルールは、気持ちよく生活するためにできたものです(形骸化して時代にそぐわない、というものももちろんありますが。そういうルールはどんどん変えていくべきですが)
先週申し上げた通り、教育情報セキュリティポリシーは、身を守るために守ったほうがいいルールです。
学校に関わる皆様も、知っておいて損はないので、来週はもうちょっと具体例を見ていきましょう。
