情報システム運用管理ガイドライン

1.趣旨

本ガイドラインは学校法人中村産業学園の情報システム(情報処理及び情報ネットワークに係るシステム)並びに外部接続ネットワークシステムの運用管理にあたり、総合情報基盤センター(以下「センター」という。)が遵守すべき指針を定めたものである。

2.情報システム管理の定義

情報システム管理の業務は、次のとおりである。

(1) 伝送路(光ファイバー、UTPケーブル、無線等)の運用管理

(2) 歴史的PIアドレスの運用管理

(3) IPアドレスの割当管理

(4) ドメイン名の運用管理

(5) 情報処理及びネットワークシステム機器の運用管理

(6) 情報システム及びインターネットの運用に必要なサーバの管理

(7) 情報システム及びインターネットの運用に必要なソフトウェア並びにデータ等メンテナンス

(8) その他、情報システム及びインターネットの運用管理に必要な業務

3.情報システム管理者の定義

(1) 情報システム管理者は、上記の情報システムの管理を行う権限を持つ者をいう。

4.情報システム管理者の心得

情報システム管理者の業務は、機器等の保守管理の他に、利用者が円滑に適正かつ適切なネットワークシステム利用が行えるように管理運営を行うことである。したがって、情報システム管理者は、KINDの管理運営において次の事項に該当する行為を行ってはならない。

(1) 法令に違反する行為

(2) 公序良俗に反する行為

(3) 営利を目的とした行為

(4) 知的財産権を侵害する行為

(5) 本学園の教育研究目的に反する行為

(6) 情報システムに混乱や障害を与える行為

(7) 情報システム利用者に不当な不利益や負担を与える行為

(8) 管理している情報システムで行われる通信内容を検閲する行為

(9) ネットワーク上にあるホスト情報、情報システム管理者の管理者ID

及びパスワード、通信記録や利用記録、利用者のメール情報や非公開情報、個人情報、その他類似のもの等を第三者に漏洩する行為

(10) 諸規則及び法令等に抵触する疑いがある場合を除き、利用者の承諾を得ずに利用者が作成又は保存した利用者データ等の閲覧、編集、複写、移動、削除をする行為

(11) その他、KINDの運用上支障がある行為

5.情報システムの公平・公正な運用

情報システム管理者は、それぞれの管理範囲において公平・公正を原則とし、利用者に開かれた体制で情報システムを運営する必要がある。また、特定利用者の意見に傾倒した運営又は特定組織を優遇した独善的な運用を行ってはならない。

したがって、管理運営において正当な理由がある場合を除き、次の事項に該当する行為を行ってはならない。

(1)IPアドレスの割当において、特定組織への割当行為を優先する行為

(2)特定利用者への利用者IDの割当を不公平に行う行為

(3)特定利用者へのファイアウォールによるアクセス制限を不公平に行う行為

(4)管理しているネットワークシステムのサービスを特定の利用者又は組織に提供する行為

6.個人情報

6.個人情報保護と管理者の守秘義務

情報システム管理者は、その管理業務上、利用者等他人の通信情報等に対して守秘義務があり、業務上正当な理由なく、利用者データの閲覧や管理運営上知り得た個人情報を他者に漏洩してはならない。

したがって、情報システム管理者は、情報システム適正運用維持のための利用履歴等の取り扱いについては、個人情報保護の観点から次の事項について留意しなければならない。

(1) 情報システム適正運用維持のために情報システム利用上の履歴を記録し、別に定める期間において保存をすることができるが、保存期間を過ぎた利用履歴等は速やかに削除しなければならない。

(2) 利用履歴及び個人情報は、当該利用者の同意なしにこれを調査することはできない。ただし、情報セキュリティインシデント及び計数的な調査についてはこの限りではない。

(3) 情報システム適正運用維持の必要性の範囲を超えて調査を行わないこと。

(4 )定められた者以外が業務を行わないこと。

(5) 業務の結果、得られた個人情報を目的以外に使用しないこと。

(6) 情報システム管理者が、委託業者に管理者の管理者ID及びパスワードを開示しなければならない場合は、あらかじめ変更したパスワードを開示し、作業終了後に別のパスワードに変更しなければならない。ただし、守秘義務契約を締結した委託業者についてはこの限りではない。

(7) その他、業務に当たってはプライバシー保護を遵守すること。

7.セキュリティの維持

情報システム管理者は、管理者向けに配信される情報や最新情報資料等を積極的に参照し、かつ、セキュリティホールに関する情報を常時取得して情報システムのセキュリティの確保に可能な限り努め、セキュリティホールが発生しないようにネットワークシステム機器及びソフトウェアの管理・運用を行わなければならない。また、不正な利用者を予見、監視するため、計数的なログ等を日常的に点検して不正な利用者を迅速に発見し、万一発見した場合は、速やかに排除しなければならない。

8.管理範囲における利用者への運用管理・指導・助言

情報システム管理者は、各部所が管理運営を行っているドメインやサーバ等において、利用者が次のような行為を行わないように、管理・指導・助言を行わなければならない。

(1) 利用者がインターネット及び情報システムの運用に必要なサーバ等を構築する際にセキュリティの観点から個人情報等の漏えい対策がなされているか等のシステム構成について監査を行う。

(2) 利用者がホームページ等を利用して、ネットワーク上に営利目的の情報を流すことがないよう管理・指導を行う。また、営利目的の必要がある場合は、外部プロバイダの利用を勧告する。

(3) 利用者が意図的でなくとも、ホームページ等に他者のロゴ、マーク、画像、Webページ、ソフトウェアなど知的財産権を侵害するおそれのある情報を掲載しないように管理・指導を行う。

(4) 直接的又は間接的に係わらず、他人や他組織を誹謗・中傷するような内容を掲載することがないように管理・指導を行う。

(5) 利用者がIPアドレスを無断使用しないよう指導・助言を行う。

9.情報システム等適正運用維持のための措置

情報システム管理者は、第三者からの通報、利用履歴の計数的な調査又は情報システム上に公開されている利用者データの閲覧等により、特定の利用者の行為が情報システム等の利用に関わる諸規則及び法令等に抵触する疑いがある場合、所定の手続きを経て、次のような措置を講ずることができる。

(1) 情報システム等における利用者個人の利用履歴及び利用者データの内容等を調査すること。

(2) 利用者データの削除、移動、変更、強制保存等を含めた操作を行うこと。

(3) 利用の一時停止、利用中の処理中止を含め当該利用者の情報システム等の利用を制限すること。

(4) 情報システム等の運用を一時的に制限すること。

(5) その他、上記に類似した事項を行うこと。

10.情報システムの利用制限

情報システム管理者は、次のような場合、情報システムの利用を制限することができる。ただし、情報システム管理者がこれを実施する場合には、事前又は事後において、利用制限の対象となった利用者に処置の内容と理由を説明しなければならない。

(1) 通信エラーを解消する必要がある場合

(2) セキュリティを維持する必要がある場合

(3) 不正アクセスを遮断する必要がある場合

(4) 教育上の観点から、他に有効な手段がなく、緊急に対応する必要がある場合

(5) その他、教育研究機関として不適切な利用がなされている場合

11.不正アクセスの遮断

情報システム管理者は、情報システムに接続されたコンピュータ等において、不正アクセスが行われていることが判明した場合は、関連する部所の情報セキュリティ責任者に連絡し、部所と連携して、速やかに不正アクセスを遮断しなければならない。

12.サブネットワークの管理

情報システム管理者は、管理しているネットワークの下位にあるサブネットワークにおいても適正な管理を行う責任がある。サブネットワークに部所の情報システム管理者がいる場合は、当該管理者と連絡を密に取り合い、連携・協力して適正な管理を行わなければならない。

附則

1 このガイドラインは、令和2年10月1日から施行する。

2 令和2年9月30日 ネットワークシステム運用管理ガイドラインは廃止する。