東京都教職員研修センターの研修「情報III」、ついに３回目、最終回です。



※過去２回の報告は、以下のリンクからご覧ください。
◆暗号化と人命
http://htanaka.exblog.jp/12054437/

◆勤務先から20分
http://htanaka.exblog.jp/11932933/

---

さて、最後の３回目は「セキュリティ対策の実際」という項目で、「組織の情報セキュリティをマネージメントする仕組みの理解」という内容でした。


本日は私が気になった部分のメモを書きとめておきます。

• 情報セキュリティーは、防災訓練（地震対策）と同じと考えるとわかりやすい。


• 地震が決してなくらないように、情報セキュリティーの問題も決してなくなることはない。


• 個人で取り組むのではなく、組織として取り組む。


• ルールに基づいて行動しても問題が起きた場合、本人に過失はあるかもしれないが、本人を罰するという対処は誤りである。


• 例えば会社では、メールを出す場合、上司にCCをしなければ出せないルールにしている。日頃のエビデンス（証拠）を残すと、情報漏えいが起きた場合でも、漏えいした情報の特定が可能となる。


• 学校の場合、各学校は会社で言えば事業所にあたると思われるので、学校単位で責任をとるののではなく、教育委員会（教育庁）が責任をとるべきではないか。


• 守るべき情報が何かを考える場合、情報資産が何であるかを考えて分類する必要がある。～企業では必ず「情報資産管理台帳」を作成してる。


• セキュリティーは教育である～情報セキュリティーは、最終的に教育でしか守れない。（三菱東京UFJ証券で起きた、部長職が情報漏えいを起こした事例からも明らか）


• セキュリティーポリシーは、組織の構成員が守れる（妥当だと思える）ものを策定しないと、漏えい問題が起こる可能性が高まる。


• まじめに仕事をする人ほど、仕事の目的を達成しようと思えば思うほど、無理があるポリシーの元では仕事が不可能となり、ポリシーを守らない（守れない）こととなる。


• 学校教育で「情報」を教える意味は、次の２つだと思われる。(1)子どもの安全を守るため (2)日本の国力をアップさせるため

---

本日の最後の１時間超は、講師の瀬戸洋一氏と研修参加者の協議（ディスカッション）という形式で研修が進みました。

やはり、私たち都の学校職員が置かれている現状の交流の発言が多く、それについて、講師の方が専門の観点からコメントをいただく形の進行となりました。

私が感じたのは、

現場の職員が「おかしい」と思っているポリシーの元では、業務が正常に機能しない

ということです。

「USBメモリを持ち込むな！」という通知を現場に一方的に降ろしてくる教育庁のやり方が、やはりおかしいと私は確信でき、本当によかったと思っています。

教育庁や都の総務局職員、特に身分の高い方々にこの研修を受けてもらいたいものです。

本当に有意義な研修会でした。