情報システム利用基準

(趣旨)

第1条 この基準は、学校法人中村産業学園(以下「学園」という。)における情報システムの利用に関する事項を定め、情報セキュリティの確保及び円滑な情報システムの利用に資することを目的とする。

(定義)

第2条 この基準における用語の定義は、次の各号のとおりとする。

(1) 「利用者ID」とは、情報システムの利用にあたって用いる利用者識別符号をいう。

(2) 「情報機器等」とは、パーソナルコンピュータ及びこれに類する情報処理機器をいう。

(3) その他の用語の定義は、情報システム基本規程及び情報セキュリティポリシー(以下「セキュリティポリシー」という。)並びに情報システム管理運用基準の定めるところによる。

(対象)

第3条 この基準の対象者は、学園の情報システム及びこれに関わる情報資産を利用するすべての者(以下「利用者」という。)とする。

2 この基準の対象範囲は、学園のネットワーク及び学園のすべての情報システムとする。

(遵守事項)

第4条 利用者は、この基準、学園の情報システムの利用に関する手順及びガイドライン並びに個人情報保護に関する法令、学園の定める諸規則を遵守しなければならない。

(利用手続)

第5条 利用者は、利用する情報システムの情報システム管理責任者(以下「管理責任者」という。)が定める手続に従って、利用者IDの交付を受けなければならない。

2 前項の申請内容に変更が生じたときは、遅滞なく管理責任者に届け出なければならない。ただし、個別の申請又は届出が必要ないことをあらかじめ別に定めている場合は、この限りでない。

(接続の許可)

第6条 学園のネットワークに情報機器等を接続するときは、情報セキュリティ管理者(以下「セキュリティ管理者」という。)の定める手続に従って、情報機器等をネットワークに接続するために必要なインターネットプロトコルアドレス(以下「IPアドレス」という。)を取得しなければならない。ただし、DHCPなど個別の申請又は届出が必要ないことをあらかじめ別に定めている場合は、この限りでない。

2 申請内容に変更が生じたときは、遅滞なくセキュリティ管理者に届け出なければならない。ただし、個別の申請又は届出が必要ないことをあらかじめ別に定めている場合は、この限りでない。

3 IPアドレスの交付基準及び方法は、セキュリティ管理者が別に定める。

(利用者ID及びパスワードの管理)

第7条 利用者は、利用者ID及びパスワードの管理に際して、次の各号を遵守しなければならない。

(1) 利用者ID及びパスワードを漏えいしないよう適切に管理すること。

(2) 自分の利用者IDを第三者に使用させないこと。

(3) 他人の利用者IDを使用しないこと。

(4) 利用者IDで認証済みの使用中の情報機器等から長時間離席する場合には、第三者が操作できないようにすること。

(5) 利用者IDを第三者に使用された又はその危険が発生した場合には、セキュリティポリシーに基づき、直ちに通報すること。

(6) 学園の情報システムを利用する必要がなくなった場合は、遅滞なく管理責任者に届け出ること。ただし、個別の届出が必要ないことをあらかじめ別に定めている場合は、この限りでない。

(7) 利用者IDの利用にあたっては、別に定めるガイドライン等を遵守すること。

(禁止事項)

第8条 利用者は、学園の情報システムにおいて、次の各号に定める行為を行ってはならない。

(1) 教育・研究活動及び運営目的を逸脱した行為

(2) 公序良俗に反する行為

(3) 特定の個人・団体への誹謗中傷、差別的な内容又は猥褻な内容の情報を利用する行為

(4) 人権及びプライバシーを侵害する情報を利用する行為

(5) 守秘義務に違反する行為

(6) 著作権等の財産権を侵害する行為

(7) 虚偽情報の提供、詐欺又は他人を詐称する行為

(8) 通信の秘密を侵害する行為

(9) 正当な理由なくネットワーク上の通信を監視し、又は情報機器等の利用情報を取得する行為

(10) 不正アクセス行為の禁止等に関する法律(平成11年法律128号)に定められたアクセス制御を免れる行為又はこれに類する行為

(11) 情報セキュリティ最高責任者の許可を得ず、情報システムのセキュリティ上の脆弱性を検知する行為

(12) 過度の通信負荷等によりネットワーク又は情報システムの円滑な運用を妨げる行為

(13) その他法令に基づく処罰の対象又は損害賠償等の民事責任を発生させる行為

(14) 前各号に定める行為を助長する行為

(15) 営利を目的とした行為

(違反行為への対応)

第9条 利用者の行為が前条各号に掲げる事項に違反する行為(以下「違反行為」という。)又は合理的な疑いがある場合は、情報セキュリティを脅かすインシデントとして、セキュリティポリシーに基づく対処を行う。

2 調査によって違反行為が判明したときは、セキュリティポリシーに定める措置のほか、当該行為者の所属する部所等の情報セキュリティ部所責任者(以下「部所責任者」という。)、管理責任者及びセキュリティ管理者は、次の各号に掲げる措置を講ずることができる。

(1) 当該行為者に対する当該行為の停止

(2) 当該行為者の利用者IDの停止又は削除

(3) 当該行為に関連する情報機器等の接続許可の取り消し

3 部所責任者及び管理責任者は、これらの違反行為について、危機管理規程に基づき、遅滞なく総務部長に報告しなければならない。

(情報機器等の利用)

第10条 利用者は、情報機器等の利用にあたっては、情報及び情報機器等の適切な保護に配慮しなければならない。

(電子メールの利用)

第11条 利用者は、電子メールでの情報の送受信を行うときは、不正プログラムの感染、情報の漏えい、誤った相手への情報の送信等により、学園が受ける脅威に注意するとともに、学園の社会的信用を失わせることのないよう注意しなければならない。

2 利用者は、電子メールの利用にあたっては、別に定めるガイドライン等を遵守しなければならない。

(ウェブの利用及び公開)

第12条 利用者は、ウェブブラウザを利用したウェブサイトの閲覧、情報の送受信、ファイルのダウンロード等を行うときは、不正プログラムの感染、情報の漏えい、誤った相手への情報の送信等により、学園が受ける脅威に注意するとともに、学園の社会的信用を失わせることのないよう注意しなければならない。

2 学園の構成員が、ウェブサイトを公開する場合は、別に定めるWWW運営要領等に従って公開しなければならない。

3 研究室等で学外に向けて公開されるウェブサーバを運用しようとする場合は、事前に各部所等の部所責任者を通じてセキュリティ管理者に申請し、許可を得なければならない。

4 ウェブサイトの公開又はウェブサーバの運用に関して、基準及び実施手順等に違反する行為が認められた場合には、管理者は当該サイト又はサーバの運用停止を行うことがある。

(情報機器等の学外での利用)

第13条 利用者は、学園が所有又は契約によって利用している情報機器等を学外で利用する場合には、次の各号に掲げる事項を遵守しなければならない。

(1) 備品・物品等の情報機器を学外に持ち出す場合には、事前に当該情報機器の部所管理責任者に届け出ること。

(2) 機密を要する情報を記録した情報機器等の学外への持ち出しには、暗号化、パスワード保護、作業中の覗き見防止等の保護措置を講じること。

(3) 学外で利用する情報機器等は、可能な限り強固な認証システムを有し、コンピュータウイルス対策ソフトウェア等は、最新の状態で情報機器等を保護すること。

(4) 情報機器等の画面を第三者から容易に見える状態で利用しないこと。この場合において、当該システムを第三者が支配又は操作可能な状態にしないこと。

(学外の情報システムとの接続)

第14条 利用者は、学外の情報システムと学園のネットワーク又は情報システムとの接続において、次の各号に掲げる事項を遵守しなければならない。

(1) 学外の情報システムを用いて学園のネットワーク又は情報システムに接続する場合は、事前にセキュリティ管理者の許可を得ること。ただし、個別の届出が必要ないことをあらかじめ別に定めている場合は、この限りでない。

(2) 利用する学外の情報システムは可能な限り強固な認証システムを備え、履歴管理機能を有すること。

(3) ウイルス対策ソフトウェア等は、最新の状態で当該システムを保護できること。

(4) 許可された者以外に学外の情報システムを利用させないこと。

(5) 前号の情報システムを第三者が支配又は操作可能な状態にしないこと。

(安全管理義務)

第15条 利用者は、自己の管理する情報システムについて、学園の情報システムとの接続状況に関わらず、安全性を維持する一次的な責任を有することに留意し、悪意あるプログラム等を導入することがないよう、次の各号に掲げる措置を講じなければならない。

(1) セキュリティ情報に留意し、セキュリティパッチ等の適用又はウイルス対策ソフトウェアの利用によって、不正プログラム感染の予防に努めること。

(2) 外部からのデータ若しくはソフトウェアを情報システムに取り込む場合又は外部にデータ若しくはソフトウェアを提供する場合には、不正プログラム感染の有無を事前に確認すること。

(3) 情報機器等の破壊、盗難及び紛失を防止するために必要な措置を講じること。この場合において、情報機器等の紛失及び盗難は、情報セキュリティを脅かすインシデントとして、セキュリティポリシーに基づき、直ちにセキュリティ管理者に報告すること。

(4) 情報機器等を廃棄する場合は、情報の漏えいを防止するために必要な措置を講じること。

(改廃)

第16条 この基準の改廃は、学長が総合情報基盤センター運営委員会の意見を聴取した上で行う。

2 この基準に基づく手順及びガイドライン等はセキュリティ管理者又は管理責任者が別に定める。

(附則)

この基準は、令和元年9月27日から施行する。