情報セキュリティ規則

(趣旨)

第1条 この規則は、情報セキュリティ基本方針に基づき、学校法人中村産業学園(以下「学園」という。)におけるすべての情報資産を保全するため、情報セキュリティ対策に関し、必要な事項を定めるものとする。

(遵守)

第2条 学園の役員、教職員、学生等(以下「構成員」という。)及び学園の情報資産を使用するすべての関係者は、この規則を理解し、遵守するとともに、学園の教育・研究活動及び運営における情報資産の保全に努めなければならない。

(定義)

第3条 この規則における用語の定義は、次の各号のとおりとする。
(1) 「情報システム」とは、情報処理及び情報ネットワークに係るシステムで、次に掲げるものをいい、学園の情報ネットワークに接続する機器を含む。
ア 学園により、所有又は管理されているもの
イ 学園と契約又は協定に従って提供されるもの
(2) 「情報資産」とは、情報システム、電磁的に記録された情報及び書面に記載された情報の総称をいう。
(3) 「情報セキュリティ」とは、情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 「インシデント」とは、情報セキュリティを脅かす意図的又は偶発的に生じる事象(事件 及び事故 を含む。 )をいう。

(対象)

第4条 この規則の対象範囲は、学園の保有するすべての情報システム、情報資産及び学園のネットワークに接続される情報システム及び情報機器等とする。
2 この 規則 の対象者は、 構成員、委託業者、学外者等、学園の情報資産を使用するすべての関係者とする 。
3 情報システムについては、情報システム規程に定める。
4 情報資産のうち、電磁的に記録された情報及び書面に記載された情報の取扱いについては、文書規程に定める。

(体制)

第5条 情報セキュリティ対策のため、次の各号に掲げる者をもって組織する。
(1) 情報セキュリティ最高責任者
情報セキュリティ最高責任者(以下「最高責任者」という。)は、学園のすべての情報セキュリティに関する 統括的な権限と責任を有し、理事長をもって充てる。
(2) 情報セキュリティ代表責任者
情報セキュリティ代表責任者(以下「代表責任者」という。)は、学園のすべての情報セキュリティに関する管理責任を有し、情報セキュリティ担当常務理事をもって充てる。
(3) 情報セキュリティ管理者
情報セキュリティ管理者(以下「管理者」という。)は、学園の情報セキュリティを管理し、総合情報基盤センター所長をもって充てる。
(4) 情報セキュリティ部所責任者
情報セキュリティ部所責任者(以下「部所責任者」という。)は、大学の各学部、大学院、センター等及び各事務部課室(以下「各部所等」と総称する。)における情報セキュリティに関する統括的な権限と管理責任を有し、各所属長等をもって充てる。
(5) 情報セキュリティ担当者
各部所等で管理する情報機器等のアクセス権限、ネットワーク接続等に関する諸設定等、情報資産のセキュリティ上の管理に携わる者として、情報セキュリティ担当者(以下「担当者」という。)を置き、担当者は管理者が指名する者をもって充てる。
(6) 情報セキュリティインシデント対応チーム
情報システムに対するサイバー攻撃等のインシデントが発生した際に、インシデントを正確に把握・分析し、被害拡大防止、復旧、再発防止等を迅速かつ的確に行うための情報セキュリティインシデント対応チーム(Computer Security Incident Response Team)(以下「CSIRT」という。)を総合情報基盤センターに置く。
ア CSIRT は、総合情報基盤センターを中心に総務課、学内有識者、情報システム保守契約企業の技術者等で構成し、管理者が指名する者をもって充てる。
イ CSIRT の体制、業務内容等については、別に定める。

(責務)

第6条 最高責任者は、代表責任者及び管理者を通じて学園の情報資産の保全に必要となる情報セキュリティ対策の充実に努めなければならない。
2 代表責任者は、最高責任者を補佐し、管理者及び部所責任者を通じて構成員にこの規則を遵守させなければならない。

3 管理者の責務は、次の各号に掲げるとおりとする。
(1) 最高責任者及び代表責任者を補佐し、全学の情報セキュリティ管理に関し、技術的に必要な措置をとるよう意見を具申するとともに、情報セキュリティの保持のため、必要な措置を講じなければならない。
(2) 情報セキュリティに関するインシデントが発生又は発生するおそれのある場合は、直ちに総務部長に報告の上、次のとおり対処しなければならない。
ア 不正アクセス若しくはこれに類する情報システムの異常事態を発見し、又はその報告を受けた場合は、原則として、最高責任者の指示により、関連する通信の遮断又は関連する情報機器等の切り離し、電源切断など、技術的に必要な措置を講ずる。
イ 緊急の場合においては、管理者の責務としてこの号アの措置を講ずる。
ウ 発生したインシデントについて、最高責任者及び代表責任者並びに関連する部所等の部所責任者に報告するとともに、再発防止を図るために必要な措置を講ずる。
(3) 構成員に対し、この規則及び情報セキュリティに関する意識の啓発その他の必要な施策を講じなければならない。

4 部所責任者の責務は、次の各号に掲げるとおりとする。
(1) 各部所等に所属する構成員にこの規則を周知し、その遵守を徹底しなければならない。
(2) 各部所等において、インシデントが発生又は発生するおそれのある場合は、直ちに管理者及び総務部長に報告の上、必要な措置を講じなければならない。
(3) 各部所等において、担当者を設置しない場合は、次項に定める担当者の責務についても負うものとする。

5 担当者の責務は、次の各号に掲げるとおりとする。
(1) 各部所等で管理する情報機器等を維持管理し、運用に即した設定及び情報セキュリティ維持の責任を負う。
(2) インシデントが発生又は発生するおそれのある場合は、直ちに部所責任者に報告するとともに、適切な措置を講じなければならない。
(3) 利用が認められた者以外の者に情報機器等の利用を許可してはならない。
(4) 委託業務等により学外者に学園の情報機器等を使用させる場合は、この規則を示し、これを遵守させるとともに、アクセス違反、情報の漏えい、改ざん、紛失等の防止を図るために必要な措置を講じなければならない。
(5) 来訪者等の構成員以外の者に学園の情報システムを一時的に利用させる場合は、この規則を示し、これを遵守させなければならない。
(6) 情報セキュリティに関する情報に注意を払い、最新の安全状態を維持するように努めなければならない。

6 構成員の責務は、次の各号に掲げるとおりとする。
(1) この規則を理解し、これを遵守しなければならない。また、ガイダンスや研修等を通じて情報セキュリティに関する理解を深めなければならない。
(2) コンピュータウイルス、ワーム等に感染している情報機器等及びセキュリティの重大な欠陥が周知となっている情報機器等を学園のネットワークに接続してはならない。
(3) 利用者ID及びパスワードなどの認証情報が漏えいしないよう管理しなければならない。また、他の構成員等の利用者IDを用いてはならない。
(4) 情報資産を廃棄する場合は、情報の漏えいを防止するために必要な措置を講じなければならない。
(5)インシデントが発生又は発生するおそれのある場合は、直ちに所属部所等の部所責任者にその旨を報告しなければならない。

(情報の管理)

第7条 学園における電磁的に記録された情報及び書面に記載された情報については、その重要度に応じて、管理方法及び責任の所在を明確にしておかなければならない。また、情報の取扱いについては、この規則のほか、個人情報の保護に関する法律(平成15 年法律第57 号)及び学園の定める諸規程に基づいて、次の各号に掲げるとおりとしなければならない。
(1) 学園の情報資産及び学園のネットワークに接続される情報機器等を利用する者(以下「利用者」という。)は、情報を入手又は利用する際には、アクセス権のない情報にアクセスを試み又は改変する権限のない情報を改変してはならない。また、アクセス権を不正な手段で入手してはならない。
(2) 利用者は、原則として自ら作成した電磁的に記録された情報及び書面に記載された情報について管理責任を負うとともに、情報の内容や重要度に応じたアクセス権の設定、バックアップの作成、改ざん防止、盗難及び紛失防止等の必要な措置を講じなければならない。また、アクセス権を設定する場合は、個人情報の有無、著作権に係る問題の有無など、情報の内容を十分踏まえなければならない。
(3) 情報資産を廃棄する場合は、情報の漏えいを防止するために、破壊又は復元不可能な処置を施すなど必要な措置を講じなければならない。
(4) 利用者は、アクセス権が不適切に設定されていることを発見した場合は、その情報の作成者、各部所等の部所責任者又は担当者に、直ちにその旨を報告しなければならない。
(5) 学園の役員及び教職員は、コンプライアンスの推進のために「秘密情報の保持に関する誓約書」に署名の上、学園に提出しなければならない。

(委託業者の遵守)

第8条 学園の情報資産の使用を含む業務を学外に委託する場合は、委託業者とこの規則の遵守及び守秘義務を明記した契約を締結するなど、適切な措置を講じなければならない。
2 委託業者は、アクセス違反、情報の漏えい、改ざん、紛失等の防止を図り、適正に情報を取り扱わなければならない。

(技術的セキュリティ)

第9条 技術的セキュリティの基本単位は個々の情報機器等とし、利用者は、セキュリティアップデートやウィルス対策など最新の安全状態を維持するよう努めなければならない。
2 最高責任者は、インシデントが発生又は発生するおそれのある場合は、学園のネットワーク及び情報システムの利用を全学的見地から制限することができるものとし、利用に関する制限の内容の周知を図るものとする。
3 管理者は、利用者に情報機器等の適切な管理及び関連する技術情報等を提供するものとする。

(履歴の管理)

第10条 管理者は、情報セキュリティの維持及び強化のために必要と認めた場合は、学園のネットワーク及び情報システムにおける履歴を採取することができる。

(基準及びガイドライン)

第11条 学園の情報システムの運用管理及び利用に関わる基準並びにガイドラインについては、別に定める。

(事務)

第12条 情報セキュリティに関する事務は、総合情報基盤センター及び総務課が行う。

(改廃)

第13条 この規則の改廃は、理事会の議決によるものとする。

(附則)

この基準は、令和2年4月1日から施行する。