外部委託

2.5.2. 研修・訓練

【趣旨】

情報セキュリティを適切に確保するためには、情報セキュリティ対策の必要性と内容 を全ての教職員等が十分に理解していることが必要不可欠である。また、情報セキュリ ティインシデントの多くは、教職員等の規定違反に起因している場合もある。さらに、

情報セキュリティの向上は、利便性の向上とは、必ずしも相容れない場合がある。教職 員等が業務を優先することが、情報セキュリティ対策の軽視につながることもある。

また、情報セキュリティに関する脅威や技術の変化は早いことから、教職員等に対し ては、常に最新の状況を周知することが重要である。

さらに、実際に情報セキュリティインシデントが発生した場合に的確に対応できるよ うにするため、緊急時に対応した訓練を実施しておくことが必要である。

これらのことから、教職員等に情報セキュリティに関する研修・訓練を行うことを規 定する。

【例文】

(１) 情報セキュリティに関する研修・訓練

CISOは、定期的に情報セキュリティに関する研修・訓練を実施しなければならな い。

(２) 研修計画の策定及び実施

①CISOは、教職員等に対する情報セキュリティに関する研修計画の策定とその実施体 制の構築を定期的に行い、情報セキュリティ委員会の承認を得なければならない。

②研修計画において、教職員等は、毎年度最低１回は情報セキュリティ研修を受講で きるようにしなければならない。【推奨事項】

③新規採用の教職員等を対象とする情報セキュリティに関する研修を実施しなければ ならない。

④研修は、統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情 報セキュリティ管理者、教育情報システム管理者、教育情報システム担当者及びそ の他教職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応 じたものにしなければならない。

⑤CISOは、毎年度１回、情報セキュリティ委員会に対して、教職員等の情報セキュリ

50

ティ研修の実施状況について報告しなければならない。

(３) 緊急時対応訓練

CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画 は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を 定め、また、効果的に実施できるようにしなければならない。

(４) 研修・訓練への参加

全ての教職員等は、定められた研修・訓練に参加しなければならない。

(解説)

(１) 情報セキュリティに関する研修・訓練

情報セキュリティに関する研修・訓練を実施する責任はCISOにあり、研修・訓練を 定期的に行わなければならない。

(２) 研修計画の立案及び実施

CISOは、全ての教職員等が、情報セキュリティの重要性を認識し、情報セキュリテ ィポリシーを理解し、実践するために、研修及び訓練を定期的かつ計画的に実施する 必要がある。

（注１）研修計画には、研修内容や受講対象者のほか、e-ラーニング、集合研修、説 明会等の実施方法、時期、日程、講師等を盛り込む。

（注２）部外の研修等に、教職員等を参加させることも有益である。

情報セキュリティポリシーを運用する際、多くの部分は組織の責任者及び利用者の 判断や行動に依存している。したがって、全ての教職員等を対象に研修を行う必要が ある。情報セキュリティに関する環境変化は早いことから、毎年度最低１回は研修を 受講するようにすることが望ましい。

研修内容は、毎回同じ内容ではなく、情報セキュリティ監査の結果や学校内外での 情報セキュリティインシデントの発生状況等を踏まえ、継続的に更新することや教職 員等が具体的に行動すべき事項を考慮することが望ましい。

新規採用の教職員等に対しては、採用時に情報セキュリティ研修を行うことによっ て、情報セキュリティの大切さを深く認識させることができる。

また、統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報 セキュリティ管理者、教育情報システム管理者、教育情報システム担当者及び教職員 等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じた研修を実 施することが必要である。これは不正アクセスから情報資産を防御することはもとよ り、不正プログラムの感染、侵入、内部者による情報の漏えい、外部への攻撃等を防

【例文】

(１) 学校内からの情報セキュリティインシデントの報告

① 教職員等は、情報セキュリティインシデントを認知した場合、速やかに教育情報 セキュリティ管理者に報告しなければならない。

② 報告を受けた教育情報セキュリティ管理者は、速やかに統括教育情報セキュリテ ィ責任者、教育情報システム管理者及び情報セキュリティに関する統一的な窓口

52 に報告しなければならない。

③ 教育情報セキュリティ管理者は、報告のあった情報セキュリティインシデントに ついて、必要に応じてCISO及び教育情報セキュリティ責任者に報告しなければな らない。

(２) 住民等外部からの情報セキュリティインシデントの報告

① 教職員等は、管理対象のネットワーク及び教育情報システム等の情報資産に関す る情報セキュリティインシデントについて、住民等外部から報告を受けた場合、

教育情報セキュリティ管理者に報告しなければならない。

② 報告を受けた教育情報セキュリティ管理者は、速やかに統括教育情報セキュリテ ィ責任者及び教育情報システム管理者に報告しなければならない。

③ 教育情報セキュリティ管理者は、当該情報セキュリティインシデントについて、

必要に応じてCISO及び教育情報セキュリティ責任者に報告しなければならない。

④ CISOは、教育情報システム等の情報資産に関する情報セキュリティインシデント について、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡 手段を公表しなければならない。【推奨事項】

(３) 情報セキュリティインシデント原因の究明・記録、再発防止等

① 統括教育情報セキュリティ責任者は、情報セキュリティインシデントについて、

教育情報セキュリティ管理者、教育情報システム管理者及び情報セキュリティに 関する統一的な窓口と連携し、これらの情報セキュリティインシデント原因を究 明し、記録を保存しなければならない。また、情報セキュリティインシデントの 原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。

② CISOは、統括教育情報セキュリティ責任者から、情報セキュリティインシデント について報告を受けた場合は、その内容を確認し、再発防止策を実施するために 必要な措置を指示しなければならない。

(解説)

(１) 学校内からの情報セキュリティインシデントの報告

教職員等は、情報セキュリティインシデントを認知した場合に、自らの判断でその 情報セキュリティインシデントの解決を図らずに速やかに教育情報セキュリティ管理 者に報告し、その指示を仰ぐことが必要である。その情報セキュリティインシデント による被害を拡大しないためにも、報告ルート及びその方法を事前に定めておく必要 がある。

（注１）情報セキュリティインシデント発生時の報告ルートは、学校及び教育委員会 の意思決定ルートと整合性を図ることが重要である。

【趣旨】

情報システムを利用する際のID及びパスワード、生体認証に係る情報等の認証情報及 びこれを記録した媒体（ICカード等）の管理が適切に行われない場合は、情報システム 等を不正に利用されるおそれがある。このことから、ID及びパスワード等の管理に関す る遵守事項を規定する。

認証情報等は、人的な原因により漏えいしやすい情報である。教育情報システム管理 者からの認証情報等の発行から教職員等での管理に至るまで、人的な原因で情報の漏え いするリスクを最小限にとどめる必要がある。

【例文】

(１) ICカード等の取扱い

①教職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならな い。

(ア) 認証に用いるICカード等を、教職員等間で共有してはならない。

(イ) 業務上必要のないときは、ICカード等をカードリーダ若しくはパソコン等 の端末のスロット等から抜いておかなければならない。

(ウ) ICカード等を紛失した場合には、速やかに統括教育情報セキュリティ責任 者及び教育情報システム管理者に通報し、指示に従わなければならない。