学校法人中内学園情報セキュリティポリシー規程

学校法人中内学園情報セキュリティポリシー規程

最終更新日:2020年11月2日

公開日:2019年4月7日

情報セキュリティポリシー規程は学校法人中内学園及び流通科学大学が、IT化が進展する中にあってさらなる研究教育活動の推進をはかり、社会の期待に応えるべく、情報基盤の充実に加え、情報資産の安全かつ信頼されるセキュリティを確保するために制定されたものです。

Ⅰ.情報セキュリティ基本方針

(目的)
第1条

学校法人中内学園及び流通科学大学(以下「本学園」という。)の教職員、学生及び関係者は、研究教育活動のために本学園の保有する多様な情報資産のより一層の公開と情報システムの利便性向上を求めている。
一方、情報の漏洩や破壊等により情報資産が侵害されれば、本学園に対する社会からの信頼喪失につながりかねない危険性がある。

したがって本学園は、この2つの視点すなわち本学園の保有する情報資産の活用と保護という要求を同時に満たすためには、情報資産のセキュリティを高めなければならないという認識のもとに、本学園の全ての構成員が遵守すべき指針としてポリシーを定める。

ポリシーによって目指すものは、以下5点である。

  1. 本学園内外の情報セキュリティを損ねる加害行為(毀損、改ざん、紛失、漏洩、不正アクセス等)の抑止
  2. 本学園の情報セキュリティに対する侵害の阻止
  3. 情報セキュリティに関する情報取得の支援
  4. 情報資産の分類と整理
  5. 情報セキュリティの評価と更新

なお、ポリシーは本学園の情報システムを利用し情報を扱うにあたって、遵守すべき指針を示したものであり、遵守しなければならないものとする。

また、本学園の全ての構成員は、情報資産の使用権限に応じて、セキュリティ管理について義務と責任を負うものであり、ポリシーに違反した者に対しては、懲戒処分等相当の措置をとることができるものとする。

(定義)
第2条

情報セキュリティとは、情報の機密性、完全性及び可用性を維持することであり、それぞれの定義は次のとおりである。

【機密性】
情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること。

【完全性】
情報が毀損、改ざん又は消去されていない状態を確保すること。

【可用性】
情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること。

(対象範囲)
第3条

対象範囲は、次の通りとする。

  1. 本学園が所有するすべての情報資産(書類、電子情報等)
  2. 本学園が所有または管理しているすべてのIT機器、ネットワーク及び、情報システム
  3. 常時または一時的に、本学園が管理しているネットワークへ接続されたIT機器、ネットワーク及び、情報システム

(対象者)
第4条

対象者は、情報資産やネットワークの利用及び運用に関わる本学園の教職員(専任・非常勤問わず)、入学志願者、在学生、卒業生、保護者、アルバイト、委託業者、来学者など本学園情報システムを利用するすべての者とする。

Ⅱ.情報セキュリティ対策基準

第1章 総則

(目的)
第1条

本学園における情報システムは、全ての研究教育活動及び運営の基盤として設置される。また、情報セキュリティ維持及び向上に関する事項を定めることにより、本学園の有する情報資産を適正に保護、活用し、並びに情報システムの信頼性、安全性及び効率性の向上に資することを目的とする。

(適用範囲)
第2条

この基準は基本方針(対象範囲)第3条に定める内容に適用する。

  1. この基準は基本方針(対象者)第4条に定める者に適用する。
  2. 前項の対象者は本規程に沿い本学園の情報システムを利用する際、情報システム利用実施手順(以下「実施手順」という。)を遵守しなければならない。
  3. 法律及びこれに基づく命令の規程により、情報資産の運用・管理に関する事項について特別の定めが設けられている場合にあっては、当該事項については、当該法律及びこれに基づく命令の定めるところによる。
(最高情報セキュリティ責任者)
第3条

本学園に最高情報セキュリティ責任者を置き、法人事務局長をもって充てる。

  1. 最高情報セキュリティ責任者は、本学園の情報セキュリティに関する総括的な権限及び責任を有する。
(情報セキュリティ実施責任者)
第4条

本学園に情報セキュリティ実施責任者を置き、本学園の教職員のうちから、法人事務局長が指名する。

  1. 情報セキュリティ実施責任者は、本学園における情報セキュリティ対策の実施に関し総括する。
(情報セキュリティインシデント対応チーム)
第5条

インシデントの発生時に、迅速かつ円滑に対応するため、最高情報セキュリティ責任者の下に、情報セキュリティインシデント対応チーム(以下「CSIRT(Computer Security Incident Response Team)」という。)を置く。

(情報システム技術担当者)
第6条

情報システム技術担当者は、本学園における情報システムの運用・管理を行う。

(本規程の周知)
第7条

本学園は対象者に対して、ホームページ等を通じて、本規程を周知する。

(禁止事項)
第8条

情報システム技術担当者は、次に掲げる事項を行ってはならない。また、他の者に行わせてはならない。

  1. 情報資産の目的外利用
  2. 守秘義務に違反する情報の開示
  3. 情報セキュリティ実施責任者に許可なく情報ネットワーク上の通信を監視し、又は情報ネットワーク機器、サーバ装置及び端末の利用記録を採取する行為
  4. 情報セキュリティ実施責任者の指示に基づかずにセキュリティ上の脆弱性を検知する行為
  5. 法令又は本学園規程に違反する情報の発信
  6. 管理者権限を濫用する行為
  7. 上記の行為を助長する行為
(規程の見直し)
第9条

情報セキュリティ実施責任者は本規程の見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行う。

第2章 違反

(違反への対応)
第10条

利用者等は、情報セキュリティ関係規程への重大な違反を知った場合は、情報セキュリティ実施責任者にその旨を報告するものとする。

  1. 情報セキュリティ実施責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合又は自らが重大な違反を知った場合には、速やかに調査を行い、事実を確認するものとする。事実の確認に当たっては、可能な限り当該行為を行った者の意見を聴取するものとする。
  2. 情報セキュリティ実施責任者は、調査によって違反行為が判明したときには、次に掲げる措置を講ずることができる。
    1. 当該行為者に対する当該行為の中止命令
    2. 当該行為に係る情報発信の遮断命令
    3. 当該行為者のアカウント停止命令又は削除命令
    4. その他法令に基づく措置
(例外措置)
第11条

最高情報セキュリティ責任者は、予測不能な事態に対処する場合等に、例外措置を適用することができる。

第3章 情報の取扱い

(情報の作成又は入手)
第12条

教職員等は、情報システムに係る情報を作成し、又は入手する場合は、本学園の研究教育その他の業務の遂行の目的に十分留意するものとする。

  1. 情報セキュリティ実施責任者は、各種情報に適切なアクセス制御を行うものとする。
  2. 教職員等は、情報を学外に持ち出し他の場所に運搬する場合又は学外通信回線を使用して送信する場合には、安全確保に留意し適切な措置を講ずるものとする。
(情報の消去)
第13条

教職員等は、電磁的記録媒体に保存された情報の利用が無くなった場合は情報を消去するものとする。但し、状況に応じて保管することも出来る。

  1. 教職員等は、電磁的記録媒体を破棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないようにする。
(情報のバックアップ)
第14条

教職員等は、取得した情報のバックアップについて、保存場所、保存方法、保存期間等を定め、適切に管理するものとする。

  1. 教職員等は、保存期間を過ぎた情報のバックアップについては、適切な方法で消去するものとする。

第4章 外部委託

(外部委託の範囲)
第15条

最高情報セキュリティ責任者は、以下の各号の業務において、外部委託を実施することができるものとする。

  1. 情報システムの構築及び開発
  2. 情報システムの運用、保守及び点検
  3. 情報の加工及び処理
  4. 情報の保存及び運搬
(外部委託に係る契約)
第16条

最高情報セキュリティ責任者は、以下の内容を含む情報セキュリティ対策を実施することを委託先の選定条件とし、契約等の内容に含めるものとする。

  1. 委託先に提供する情報の目的外利用の禁止
  2. 情報セキュリティインシデントへの対処対応
  3. 情報セキュリティ対策の履行が不十分な場合の対処方法
(外部委託における対策の実施)
第17条

最高情報セキュリティ責任者は、委託した業務において情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を教職員等から受けた場合は、委託先に対し契約に基づく必要な措置を講じさせるものとする。

  1. 最高情報セキュリティ責任者は、委託した業務の終了時に、委託先において取り扱われた情報が確実に返却又は抹消されたことを確認するものとする。
(外部委託における情報の取扱い)
第18条

教職員等は、委託先への情報の提供等において、以下の事項を遵守するものとする。

  1. 委託先に要保護情報を提供する場合、提供する情報を必要最小限として提供すること。
  2. 提供した情報が委託先において不要になった場合は、これを確実に返却又は消去させること。
  3. 委託先において、情報セキュリティインシデントの発生又は情報の目的外利用を認知した場合は、速やかに情報セキュリティ実施責任者に報告すること。
(外部サービスの利用)
第19条

教職員等は、外部サービスを利用する場合は、以下の各号に注意して運用するものとする。

  1. サービス機能の設定に関する定期的な確認
  2. 状況に応じて情報の滅失、破壊等に備えたバックアップの取得
  3. 利用者等への注意喚起

第5章 情報システムの構築

(不正プログラム対策)
第20条

情報セキュリティ実施責任者は、不正プログラムからサーバ装置及び端末(当該サーバ装置及び端末で動作可能なアンチウイルスソフトウェア等が存在しない場合を除く。以下同じ。)を保護するため、アンチウイルスソフトウェアを導入する等の対策を実施するものとする。

  1. 情報セキュリティ実施責任者は、想定される不正プログラムの感染経路のすべてにおいてアンチウイルスソフトウェア等により不正プログラム対策を実施するものとする。
(主体認証と権限管理)
第21条

情報セキュリティ実施責任者は、利用者等が情報機器にログインする場合には主体認証を行うように構成するものとする。

  1. 情報セキュリティ実施責任者は、ログインした利用者等の識別コードに対して、権限管理を行うものとする。
(端末の対策)
第22条

情報セキュリティ実施責任者は、端末で利用を禁止するソフトウェアを定めるものとする。

(通信回線の対策)
第23条

情報セキュリティ実施責任者は、通信回線構築によるリスク(物理的損壊又は情報の漏洩、改ざん等のリスクを含む。)を検討し、通信回線を構築するものとする。

  1. 情報セキュリティ実施責任者は、通信回線に接続されるサーバ装置及び端末をセキュリティレベル、管理部署等によりグループ化し、それぞれ論理的又は物理的な通信回線上で分離するものとする。
  2. 情報セキュリティ実施責任者は、グループ化されたサーバ装置及び端末間での通信要件を検討し、当該通信要件に従って情報ネットワーク機器を利用しアクセス制御及び経路制御を行うものとする。
  3. 情報セキュリティ実施責任者は、遠隔地から情報ネットワーク機器に対して、保守又は診断のために利用するサービスによる接続についてセキュリティを確保するものとする。
(学外通信回線との接続)
第24条

情報セキュリティ実施責任者は、最高情報セキュリティ責任者の承認を得た上で、学内通信回線を学外通信回線と接続するものとする。

  1. 情報セキュリティ実施責任者は、学内通信回線を学外通信回線と接続することにより情報システムのセキュリティが確保できないと判断した場合、又は困難な事由が発生した場合は、独立した通信回線として構築するものとする。
(情報コンセント)
第25条

情報セキュリティ実施責任者は、情報コンセントを設置する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。

  1. 通信を行うサーバ装置及び端末の識別又は利用者等の主体認証
  2. 主体認証記録の取得及び管理
  3. 情報コンセント経由でアクセスすることが可能な通信回線の範囲の制限
  4. 情報コンセント接続中の他の通信回線との接続の禁止
  5. 情報コンセントに接続するサーバ装置及び端末の管理
(VPN)
第26条

情報セキュリティ実施責任者は、VPN環境を構築する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。

  1. 通信内容の暗号化
  2. 通信を行うサーバ装置及び端末の識別又は利用者等の主体認証
  3. VPN経由でアクセスすることが可能な通信回線の範囲の制限
  4. VPN接続方法の機密性の確保
(ウェブサーバ対策)
第27条

情報セキュリティ実施責任者は、ウェブサーバの管理や設定において、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めた時は措置を講ずるものとする。

  1. ウェブサーバが備える機能のうち、不要な機能の停止又は制限
  2. ウェブコンテンツの編集作業を担当する主体の限定
  3. サービスを利用する者の個人に関する情報の通信時における情報の漏洩を防止する必要がある場合、暗号化の機能及び電子証明書による認証の機能の設定

第6章 情報システムの運用・終了

(不正プログラム対策)
第28条

情報セキュリティ実施責任者は、不正プログラム対策の状況を適宜把握し、その見直しを行うものとする。

(脆弱性診断)
第29条

情報セキュリティ実施責任者は、最高情報セキュリティ責任者の指示に基づき、情報システムに関する脆弱性の診断を定期的に実施し、セキュリティの維持に努めるものとする。

(文書の見直し)
第30条

情報セキュリティ実施責任者は、適宜、サーバ装置及び端末のセキュリティ維持に関する文書の見直しを行うものとする。また、当該文書を変更した場合には、当該変更の記録を保存するものとする。

  1. 情報セキュリティ実施責任者は、適宜、通信回線を介して提供するサービスのセキュリティ維持に関する文書の見直しを行うものとする。また、当該文書を変更した場合には、当該変更の記録を保存するものとする。
(端末の対策)
第31条

情報セキュリティ実施責任者は、学内の端末で利用されているソフトウェアの状態を定期的に調査し、不適切な状態にある端末を検出等した場合には、改善を図るものとする。

(情報機器等の運用終了)
第32条

情報セキュリティ実施責任者は、情報機器等の運用を終了する場合に、データ消去ソフトウェア若しくはデータ消去装置の利用又は物理的な破壊若しくは磁気的な破壊等の方法を用いて、すべての情報を復元が困難な状態にするものとする。

第7章 情報システムの利用

(基本的対策)
第33条 

利用者等は、本学園の研究教育その他の業務以外の目的で情報システムを利用しないものとする。

  1. 利用者等は、情報セキュリティ実施責任者が接続許可を与えた通信回線以外に学内の情報システムを接続しないものとする。
  2. 利用者等は、学内通信回線に、情報セキュリティ実施責任者の接続許可を受けていない情報システムを接続しないものとする。
  3. 利用者等は、情報システムで利用を禁止するソフトウェアを利用しないものとする。また、情報システムで利用を認めるソフトウェア以外のソフトウェアを職務上の必要により利用する場合は、情報セキュリティ実施責任者の承認を得るものとする。
  4. 利用者等は、端末の運用を終了する場合には、端末に保存されているすべての要保護情報を、復元が困難な状態にするものとする。
(不正プログラム対策)
第34条

利用者等は、不正プログラム感染防止に関する措置に努めるものとする。

  1. 利用者等は、情報システムが不正プログラムに感染した可能性があることを認識した場合は、感染した情報システムの通信回線への接続を速やかに切断するなど、必要な措置を講ずるものとする。
(メール利用時の対策)
第35条

利用者等は、要保護情報を含む電子メールを送受信する場合には、本学園が運営又は外部委託した電子メールサーバにより提供される電子メールサービスを利用するものとする。

  1. 利用者等は、不審な電子メールを受信した場合には、実施手順に従い、対処するものとする。
(ソーシャルメディア(SNS・コミュニケーションツール)の利用)
第36条

利用者等は、日本国内の法令についての遵守はもとより、諸外国法令や国際法規についても遵守するものとする。

  1. 利用者等は、要保護情報を不適切に発信しないようにすること。
  2. 利用者等は正確な情報を伝えるようにすること。欺瞞情報を意図的に伝達することは、発信者個人のみならず本学園の名誉と信頼を損なう恐れがあることを自覚すること。
  3. 利用者等はコミュニケーション活動を行う際、利用するサービス内容を吟味し、自身の個人情報を登録・公開する際には充分注意を払うこと。また、オンラインのコミュニケーション活動では、情報を削除しても当該利用サービス以外に第三者により情報が保存・アーカイブ化され、消去できないことがあることに留意すること。
(外部電磁的記録媒体)
第37条

利用者等は、外部電磁的記録媒体を用いた情報の取扱いに関する以下の事項を遵守するものとする。

  1. 本学園により支給された外部電磁的記録媒体を原則使用すること。
  2. 要保護情報は保存される必要がなくなった時点で速やかに削除すること。
    (識別コード及び主体認証情報の取扱い)
第38条

利用者等は、主体認証の際に自己に付与された識別コード以外の識別コードを用いて情報システムを利用しないものとする。

  1. 利用者等は、自己に付与された識別コードを適切に管理するものとする。
  2. 利用者等は、自己の主体認証情報の管理を徹底するものとする。

第8章 情報システムのセキュリティ機能

(主体認証機能の導入)
第39条

情報セキュリティ実施責任者は、すべての情報システムについて、主体認証を行う必要性の有無を検討するものとする。

  1. 情報セキュリティ実施責任者は、主体認証を行う必要があると認めた情報システムにおいて、識別及び主体認証を行う機能を設けるものとする。
  2. 情報セキュリティ実施責任者は、主体認証を行う必要があると認めた情報システムにおいて、当該主体認証情報が明らかにならないように管理するものとする。
(アクセス制御機能の導入)
第40条

情報セキュリティ実施責任者は、情報システムの特性、情報システムが取り扱う要保護情報により、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設け、適切に運用するものとする。

(アカウント管理)
第41条

情報セキュリティ実施責任者は、すべての情報システムについて、アカウント管理を行う必要性の有無を検討するものとする。この場合、要保護情報を取り扱う情報システムについては、アカウント管理を行うものとする。

  1. 情報セキュリティ実施責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、利用者等が情報システムを利用する必要がなくなった場合には、当該利用者等のアカウントを削除するものとする。
  2. 情報セキュリティ実施責任者は、識別コード及び主体認証情報が他者に使用される若しくはその危険が発生したことの報告を受けたときは、速やかに当該アカウントを停止するものとする。
  3. 管理者権限を持つアカウントを付与された者は、管理者としての業務遂行時に限定して、当該アカウントを利用するものとする。
(暗号化機能)
第42条

情報セキュリティ実施責任者は、要保護情報(書面を除く。)を取り扱う情報システムについて、暗号化を行う機能を付加する必要性の有無を検討するものとする。

第9章 インシデント対応

(インシデントの発生に備えた事前準備)
第43条

情報セキュリティ実施責任者は、情報セキュリティに関するインシデントが発生した場合、被害の拡大を防ぐとともに、インシデントから復旧するための体制を整備するものとする。

  1. 情報セキュリティ実施責任者は、インシデントについて利用者等から情報セキュリティ実施責任者への報告手順を整備し、当該報告手段をすべての利用者等に周知するものとする。
  2. 情報セキュリティ実施責任者は、インシデントが発生した際の対応手順を整備するものとする。
  3. 情報セキュリティ実施責任者は、インシデントに備え、本学園の研究教育その他の業務の遂行のため特に重要と認めた情報システムについて、緊急連絡先、連絡手段、連絡内容を含む緊急連絡網を整備するものとする。
  4. 情報セキュリティ実施責任者は、インシデントが発生した場合の連絡及び報告、インシデントの原因の調査、再発防止策の策定等の対応を、速やかに行うための体制を整備するものとする。
(インシデントの原因調査・再発防止策)
第44条

情報セキュリティ実施責任者は、インシデントが発生した場合には、インシデントの原因を調査したうえで再発防止策を策定し、その結果を報告書としてCSIRT責任者に報告するものとする。

  1. CSIRT責任者は、インシデントを認知した場合には、前条第3項により情報セキュリティ実施責任者が定める対応手順に従い、直ちに必要な措置を講ずる。

第10章 教育・研修

(情報セキュリティ対策の教育)
第45条

情報セキュリティ実施責任者はポリシーについて、利用者等に対しその啓発を行うものとする。

  1. 情報セキュリティ実施責任者はポリシーについて、利用者等に教育すべき内容を検討し、教育のための資料を整備するものとする。

第11章 評価

(自己点検の実施)
第46条

情報セキュリティ実施責任者は、教職員等に対して、自己点検の実施を指示するものとする。

  1. 情報セキュリティ実施責任者は、教職員等による情報セキュリティに関する自己点検が行われていることを確認し、その結果を評価するものとする。
  2. 教職員等は、自らが実施した情報セキュリティに関する自己点検の結果に基づき、自己の権限の範囲で改善できると判断したことは改善し、情報セキュリティ実施責任者にその旨を報告するものとする。

  • 附則
    この規程は、令和2年10月30日から施行する。

資料請求

大学案内

ページトップ