第1章 総 則
(趣 旨)
第1条 学校法人稲置学園情報セキュリティ基本規程(以下「本規程」という。)は、学校法人稲置学園情報セキュリティ基本方針(以下「基本方針」という。)の目的を達成し、情報セキュリティ対策を遵守すべき行為及び基準並びに組織・体制などに必要な基本的要件を定めるものである。
第2章 情報セキュリティの管理体制
(組織・体制)
第2条 学校法人稲置学園(以下「法人」といい、法人が設置する学校及び認可外保育施設を含む。)における情報基盤を整備し、情報資産の有効活用・セキュリティ確保を実現するための組織・体制を次のとおり定める。
(1)情報セキュリティ最高責任者
法人に情報セキュリティ最高責任者を置き、情報システム担当理事をもって充てる。情報セキュリティ最高責任者は、法人の情報セキュリティに関する総括的な意思決定を行い、法人内外に対する責任を負う。
(2)情報セキュリティ管理責任者
法人に情報セキュリティ管理責任者を置き、情報システム部長をもって充てる。情報セキュリティ管理責任者は、法人における情報セキュリティ対策の管理・運営に関し総括し、情報セキュリティ実施責任者と連携し、情報セキュリティ最高責任者を補佐する。
(3)情報セキュリティ実施責任者
法人に情報セキュリティ実施責任者を置き、システム統括課長をもって充てる。情報セキュリティ実施責任者は、法人における情報セキュリティ対策の実施に関し総括し、情報セキュリティ管理責任者と連携し、情報セキュリティ最高責任者を補佐する。
(4)システム管理責任者
部局にシステム管理責任者を置き、当該部局の所属長をもって充てる。システム管理責任者は、部局内の情報セキュリティに関する権限と責任を有する。
(委員会)
第3条 法人は、情報セキュリティ対策を推進し、情報システムの安全かつ適切な運用に必要な次の各号に掲げる事項について審議するため、情報セキュリティ委員会(以下「委員会」という。)を置く。
(1)情報セキュリティの基本方針に関すること
(2)情報セキュリティの管理体制に関すること
(3)法人の情報資産の分類及び管理・運用に関すること
(4)法人の情報セキュリティインシデントの対応に関すること
(5)法人の情報セキュリティに係る啓発や教育の実施に関すること
(6)法人の情報セキュリティの基本方針等の評価及び見直しに関すること
(7)本規程第28条乃至第31条に関すること
2 委員会は、次の各号に掲げる者で組織する。
(1)情報セキュリティ最高責任者
(2)情報セキュリティ管理責任者
(3)情報セキュリティ実施責任者
(4)システム管理責任者
(5)委員長が必要と認めた者
3 委員会の組織運営は、次の各号のとおりとする。
(1)委員会には委員長を置き、前項第1号の委員とする
(2)委員会に副委員長を置き、副委員長は委員の中から委員長が指名する
(3)委員長に事故あるときは、副委員長がその職務を代行する
(4)委員会は、委員の過半数の出席をもって開催することができる
(5)委員会は、原則月1回以上開催するものとすることとする他、委員長が必要と認めるときは臨時で開催することができる
(6)委員会が必要と認めるときは、関係職員、外部の有識者等から意見を聴くことができる
(7)前項第5号に規定する委員の任期は、1年以内とする。ただし、再任は妨げない
(8)委員会の事務は、情報システム部システム統括課が行う
第3章 情報資産の分類と管理
(情報資産の分類)
第4条 情報資産は、基本方針の別表に規定する「情報セキュリティ」における「機密性」及び「完全性」並びに「可用性」の確保の3つの観点に基づき、「法人外秘」「所属外秘」「取扱注意」「その他」の区分について、本規程の別表のとおり「非公開」「一部公開」「公開」の分類を行い、第10条乃至第13条の規定に従い、情報の取扱制限を行うなど、様々な脅威から保護しなければならない。
(非公開情報資産の取り扱い)
第5条 非公開情報資産は、次の各号に掲げる事項に従い、取り扱わなければならない。
(1)個人情報、教育・研究、事務等の非公開情報資産を不当に利用してはならない
(2)非公開情報を不特定の者が可読な状態にしてはならない
(3)情報の盗難・漏洩等を防止するため、暗号化や盗聴防止策及び盗難防止策を講じなければならない
(限定公開情報資産の取り扱い)
第6条 限定公開情報資産は、次の各号に掲げる事項に従い、取り扱われなければならない。
(1)特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可されたものが許可された操作だけを行えるよう、認証及びアクセス制御等を実施しなければならない
(2)情報の盗難・漏洩等を防止するため、暗号化や盗聴防止策及び盗難防止策を講じなければならない
(3)異常な登録、閲覧および操作が行われていないか、定期的に調査・確認を行わなければならない
(公開情報資産の取り扱い)
第7条 公開情報資産は、次の各号に掲げる事項に従い、取り扱わなければならない。
(1)あらゆる公開情報資産を不当に利用してはならない
(2)情報資産は、改ざん、破壊されないよう、適切に管理されなければならない
(3)情報公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分に注意し、公開できる情報だけの抽出を行い、公開してよい形に加工しなければならない
(情報資産の管理)
第8条 情報資産は、原則として、当該情報資産を作成した部局が本規程第4条に定める分類により管理しなければならない。
2 法人が所有するサーバ機器に保存されず、個々のクライアント機器に保存された情報資産は、原則として、当該クライアント機器を日常的に利用する者が管理しなければならない。
3 情報資産の保存期間は、別に定めるものとする。
第4章 物理的セキュリティ
(管理区域の設置)
第9条 情報セキュリティ実施責任者は、サーバ機器等の重要な情報システム又は情報資産を、管理する情報の重要度に従い、それぞれ設定された管理区域内に設置し、正当なアクセス権のない者が使用できないよう、必要に応じて入退室の認証・記録や警備システムの設置等、物理的なセキュリティ確保に努めなければならない。
(情報機器及び記録媒体の盗難対策)
第10条 システム管理責任者は、情報資産の盗難予防に努めなければならない。
(情報機器及び記録媒体の学外への持ち出し)
第11条 情報資産を利用する者(以下「利用者」という。)は、個人情報及び法人の重要なデータが入った情報資産を原則として学外へ持ち出してはならない。
2 利用者は、やむを得ず情報資産を学外へ持ち出す場合は、システム管理責任者の承認を得なければならない。また、システム管理責任者は、情報資産を学外に持ち出すことを承認する場合、情報漏洩が発生しないよう、情報セキュリティ対策を講じなければならない。
(情報機器及び記録媒体の学内の持ち込み)
第12条 利用者は、情報資産を学内へ持ち込む場合は、ウィルスチェックを行う等の情報セキュリティ対策を講じなければならない。
(情報のバックアップ)
第13条 利用者は、サーバ機器等に記録するデータを必要に応じて、定期的にバックアップしなければならない。
(情報機器及び記録媒体の処分)
第14条 利用者は、情報資産を破棄する場合、残存情報が第三者に読み取られることのないよう、情報セキュリティ対策を講じなければならない。
第5章 人的セキュリティ
(教育・研修)
第15条 情報セキュリティ最高責任者は、情報セキュリティに関する啓発や教育を実施するため、必要な措置を講じるよう努めるものとする。
(事故・障害時の報告・対応)
第16条 利用者は、情報セキュリティに関する事故・障害及び公開情報の改ざん等を発見した場合には、直ちにシステム管理責任者に報告しなければならない。
2 システム管理責任者は、発生した事故・障害等について、速やかに調査等を行い、その結果不正等を確認した場合、情報セキュリティ実施責任者に直ちに必要な措置を講じるための指示を出さなければならない。
3 情報セキュリティ実施責任者は、重大な事故が発生した場合、情報セキュリティ管理責任者及び情報セキュリティ最高責任者に報告しなければならない。
4 情報セキュリティ最高責任者は、重大な事故が発生した場合は、委員会を開催し、必要な措置に関する審議を行わなければならない。
5 情報セキュリティ管理責任者及び情報セキュリティ実施責任者は、発生したすべての情報セキュリティ上の事故等に関する記録を一定期間保存しなければならない。
(委託契約)
第17条 情報システムの開発又は運用管理を外部委託する場合は、外部委託業者から再委託を受ける業者も含め、学校法人稲置学園情報セキュリティポリシー(以下「セキュリティポリシー」という。)を遵守することを明記した契約を締結するものとする。
第6章 技術的セキュリティ
(不正アクセス等の対応)
第18条 情報セキュリティ実施責任者は、不正アクセスの防止並びに検出するための適切な手段を講じなければならない。不正アクセスが検出された場合は、指定のマニュアル書に従って、関連する通信の遮断又は該当する情報機器の切り離しなどの措置を講じなければならない。
(アクセス制限)
第19条 システム管理責任者は、教学組織又は事務組織において、情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを防止するために必要なアクセス制限を行わなければならない。
2 利用者は、許可されていない情報を不正にアクセスしたり、利用してはならない。
(ネットワークの運用管理)
第20条 法人の基幹ネットワークの管理は、情報セキュリティ実施責任者が行う。
2 情報セキュリティ実施責任者は、基幹ネットワークについて、ファイアウォール等のセキュリティ対策機器を導入し、外部からの不正アクセス等に対する防御や内部から外部への攻撃に対処しなければならない。
3 情報セキュリティ実施責任者は、ファイアウォール等のログを一定期間保存しなければならない。
4 情報セキュリティ実施責任者は、新たな技術による学内ネットワークへの攻撃に対処できるよう、必要に応じて、セキュリティ対策機器及びセキュリティ対策機器上のソフトウェア(ファームウェアを含む)を更新しなければならない。
(ネットワークバックドアの排除)
第21条 法人のネットワークのセキュリティ機能を回避する目的でバックドア(Point-to-Point Protocolサーバ、コンピュータに接続する外部ネットワーク、Virtual Private Network装置及びソフトウェア等)を設置することは、原則として禁止する。
(ネットワーク接続機器)
第22条 法人のネットワークに接続する情報機器は、ウィルス対策ソフトを導入する等のセキュリティ対策を講じたものでなければならない。
2 情報セキュリティ実施責任者は、法人のネットワークに接続する情報機器の利用者を把握しておかなければならない。
(学外からの法人の情報システムの利用)
第23条 職員等は、学外からの法人の情報システムへのアクセスにおいて、以下の各号に従わなければならない。
(1)職員等は、学外からアカウントを使って法人の情報システムへアクセスするには指定された方法で利用しなければならない。
(2)職員等は、アクセスに用いる情報システムを許可された者以外に利用させてはならない。
(利用記録の保存)
第24条 個人情報等の非公開情報を管理するサーバ及び必要とされるサーバについては、システムログやアクセス記録等の運用に関する記録を一定期間保存しなければならない。また、情報セキュリティ最高責任者又は委員会から運用に関する記録の提供を求められた場合は、速やかに開示しなければならない。
(アカウント及びパスワードの整備)
第25条 職員等は、アカウント及びパスワードの管理に際して、次の各号を遵守しなければならない。
(1)職員等は、自己のアカウントを他の者に使用させ、又は他の者に開示してはならない。
(2)職員等は、十分なセキュリティを維持できるよう、パスワードの設定及び変更に配慮しなければならない。
(3)職員等は、他者のアカウントを聞き出し、又は使用してはならない。
(4)職員等は、アカウントを利用して、学外から法人の情報システムにアクセスする場合には、本規程第28条の規定に基づき、アクセスしなければならない。また、アカウントの漏えいが発生しないよう管理しなければならない。
(5)職員等は、アカウントを他者に使用された、又はその危険が発生した場合には、直ちに情報セキュリティ実施責任者にその旨を報告しなければならない。
(6)職員等は、システムを利用する必要が無くなった場合は、遅滞なく情報セキュリティ実施責任者に届け出なければならない。
(7)職員等は、アカウントを適切に管理しなければならない。
(禁止事項)
第26条 職員等は、法人の情報システムについて、次の各号に定める行為を行ってはならない。
(1)当該情報システム及び情報について定められた目的以外の利用
(2)指定以外の方法による学外からの法人の情報システムへのアクセス
(3)予め指定されたシステム以外の法人の情報システムを法人以外の者に利用させる行為
(4)守秘義務に違反する行為
(5)差別、名誉毀損、侮辱又はハラスメントに当たる行為
(6)個人情報又はプライバシーを侵害する行為
(7)不正ソフトウェアの作成、所持及び配布行為
(8)著作権等の財産権を侵害する行為
(9)通信の秘密を侵害する行為
(10)営業ないし商業を目的とした法人の情報システムの利用
(11)過度な負荷等により法人の円滑な情報システムの運用を妨げる行為
(12)不正アクセス禁止法に反する行為、又はこれに類する行為
(13)その他法令に基づく処罰の対象となる行為
(14)前各号の行為を助長する行為
(違反行為への対処)
第27条 職員等の行為が前条に掲げる事項に違反すると被疑される行為と認められたときは、情報セキュリティ管理責任者は、情報セキュリティ最高責任者と協力して速やかに調査を行い、事実を確認するものとする。事実の確認にあたっては、可能な限り当該行為を行った者の意見を聴取しなければならない。
2 情報セキュリティ管理責任者は、上記の措置を講じたときは、遅滞なく情報セキュリティ最高責任者にその旨を報告しなければならない。
3 調査によって違反行為が判明したときは、情報セキュリティ管理責任者は情報セキュリティ最高責任者を通じて次の各号に掲げる措置を講ずることを依頼することができる。
(1)当該行為者に対する当該行為の中止命令
(2)部署に対する当該行為に係る情報発信の遮断命令
(3)部署に対する当該行為者のアカウント停止、又は削除命令
第7章 評価・見直し
(情報資産の点検)
第28条 情報セキュリティ実施責任者は、情報資産に係る物理的・技術的・人的セキュリティ対策について、定期的な点検を実施し、その結果を情報セキュリティ最高責任者に報告しなければならない。
(情報セキュリティ対策の更新)
第29条 情報セキュリティ最高責任者は、前条の報告により、改善が必要と認められる場合には、情報セキュリティ実施責任者に対して、情報セキュリティ対策の更新等、必要な措置を講じるよう命じなければならない。
(セキュリティポリシーの評価)
第30条 セキュリティポリシーの実効性については、定期的に評価を行い、改善が必要と認められる場合には、セキュリティレベルが高く、遵守可能なセキュリティポリシーに更新しなければならない。
(監 査)
第31条 情報セキュリティの監査を行う責任者は、情報セキュリティ最高責任者の指示により、情報セキュリティ対策が本規程に従い実施されていることを監査する。監査は、学校法人稲置学園内部監査規程に準じて行う。
(改 廃)
第32条 この規程の改廃は、委員会の議を経て常務理事会が行う。
付 則
この規程は、令和3年4月30日に制定し、令和3年5月1日から施行する。
付 則
この規程は、令和4年3月31日に事務組織変更に伴い一部改正し、令和4年4月1日から施行する。
【別表】情報資産の分類
分 類 | 定 義 | 区 分 |
1 | 非公開 | 秘密文書に相当する機密性を要し、セキュリティ侵害により、法人又は職員等の信用失墜や利益を損なうような重大な影響を及ぼす情報資産 | 「法人外秘」「所属外秘」「取扱注意」 |
2 | 一部公開 | 秘密文書に相当する機密性は要しないが、法人及び職員の権利の侵害又は活動の遂行に支障を及ぼすおそれがある情報資産 | 「取扱注意」「その他」 |
3 | 公開 | 影響がほとんどなく、不特定多数に公開してもよい情報資産 | 「その他」 |