○学校法人藤田学院における情報セキュリティポリシー

第1章 情報セキュリティ基本方針

1.趣旨

本法人における危機管理に関する規程第1条の趣旨に則り、本法人が保有する情報資産(ネットワーク上を流通する情報やコンピュータ及びネットワークなどの情報システム)のセキュリティを確保するために、この情報セキュリティポリシー(以下「ポリシー」という)を定める。

2.ポリシーの位置付け

ポリシーは、本法人の情報セキュリティ対策について、総合的・体系的かつ具体的にまとめたものであり、情報セキュリティ対策の最高位に位置するものである。

3.ポリシーの対象範囲

ポリシーの対象範囲は、本法人の情報資産および情報資産に接するすべての教職員(非常勤教職員などを含む)、学生ならびに情報資産に関与する業者とする。

4.ポリシーの目的と基本方針

(1) 目的

目的は、法人内外の情報セキュリティを損ねる加害行為を抑止し、情報資産の安全性を確保することである。

(2) 基本方針

1)本法人の情報資産への利用者のアクセス権限と操作の権限を明確にすること。

2)本法人の情報資産をウイルスや外部の侵入から守る防御体制を整えること。

3)本法人の情報セキュリティ体制が正常に機能していることの確認と維持管理すること。

5.定義

(1) コンピュータ

ハードウェア、及びソフトウェアで構成するコンピュータ、及び周辺機器ならびに記録媒体をいう。

(2) 磁気ディスク等

コンピュータに使用される磁気ディスク、テープ、光ディスクその他これらに類する記憶媒体をいう。

(3) 情報機器の設置場所

サーバ、学生情報、成績情報、入試情報、財務情報などを扱うコンピュータを設置している部屋をいう。

(4) ネットワーク

コンピュータを相互に接続するための法人内通信網及びその構成機器(ハードウェア及びソフトウェア)で構成され、情報処理を行なう仕組みをいう。

(5) 情報システム

ネットワーク機器(ルータ、ファイアフォール、ハブ、ケーブルなど)、サーバ、パソコン、基本ソフトウェア、応用ソフトウェア、システム設定情報(パスワードファイル等)、記録媒体(USBメモリ、DVD等)、システム構成図、持ち込まれたノートパソコンなどの総称である。情報システムに記録される情報とは、アクセス記録(ログ)、文書及び図面等の電磁的記録を指す。

(6) 情報資産

情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称である。電磁的に記録された情報すべてを含む。

第2章 情報セキュリティ対策基準

1.趣旨

この基準は、情報セキュリティ基本方針に従い、本法人の情報資産を保護・運用するために遵守すべき事項を示したものである。

2.管理体制・組織

画像

1)最高情報セキュリティ責任者は、法人全体の情報セキュリティに関する総括的な意思決定と、法人内の各組織および法人外に対する責任を負う。理事長がこの最高情報セキュリティ責任者となり、ICT委員長が補佐する。

2)システム管理責任者は、法人全体の情報システム管理の実施に関し、緊急時の連絡など、総括的な対応に当たり、最高情報セキュリティ責任者を補佐する。ICT委員長を除くICT委員がこのシステム管理責任者となる。

3)情報管理責任者について以下のように定める。

①情報セキュリティの適正な運用及び管理を行うため、情報資産を取り扱う部署(これに準ずるものを含む)に情報セキュリティに関する権限及び責任を有する情報管理責任者を置き、学科の代表者、または情報資産を取り扱う部署をもってこれに充てる。

②情報管理責任者は、必要に応じて所轄する情報資産に係る情報セキュリティ実施手順の作成・維持・管理を行うとともに、定められている事項について教職員に実施及び遵守させなければならない。

③情報管理責任者は、使用する情報資産の機器や記録媒体について、第三者に使用させること、又は許可なく情報を閲覧させることがないように、適切な処置を施さなければならない。

4)情報管理者は、情報資産を現場で取り扱う担当者である。

5)情報セキュリティ委員会について以下のように定める。

①情報セキュリティ委員会は、最高情報セキュリティ責任者、システム管理責任者、情報管理責任者で構成する。

②ポリシーの策定、改訂を行なう。

③その他、情報セキュリティに関する重要事項の決定を行なう。

3.情報資産の分類

教職員は、情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行なう。

(1) 重要性分類Ⅰ

1)鳥取看護大学・鳥取短期大学の受験志願者及び学生個人の成績情報、認定こども園鳥取短期大学附属幼稚園・鳥取短期大学附属保育園園児の個人情報など

2)漏洩した場合、本法人に対する信頼を著しく害するおそれのある情報

3)滅失し、または棄損した場合、その復元が著しく困難となり、法人運営の円滑な執行を妨げる恐れのある情報

4)情報システムに関わるパスワード及びシステム設定情報

(2) 重要性分類Ⅱ

1)脅威にさらされた場合に実害を受ける危険性は低いが、大学教育及び、大学事務の執行において重要性は高いと評価される情報

2)公開されると教育、法人業務の円滑な執行に著しい障害を生ずる恐れのある情報

3) 重要性分類Ⅲ

上記以外の情報

4.情報の管理

情報の管理方法は以下のように定める。

(1) 情報の管理及び取り扱い

1)情報の重要性分類に従い、パスワード等によるアクセス制限及び、必要に応じては暗号等による通信内容の秘匿を行わなければならない

2)重要性分類Ⅰの情報の不用意な複製や、送付・送信は行ってはならない

3)教職員は、業務上必要な場合には、情報管理責任者の許可を得た上で情報の複製・送付・送信を行わなければならない

(2) 記録媒体の管理

1)重要性分類Ⅰ・Ⅱの情報を記録した取り外し可能な記録媒体は、外部からの脅威にさらされないよう施錠ができるなど特に安全な場所に保管しなければならない

(3) 記録媒体の処分

1)記録媒体が磨耗等により不要となった場合は、当該媒体に記録されている情報性分類Ⅰ・Ⅱの情報をいかなる方法によっても復元できないように消去等を行った上で廃棄しなければならない

5.セキュリティ対策

情報セキュリティ対策は、物理的対策、人的対策、技術的対策の3つの観点から実施する。

(1) 物理的セキュリティ

1)情報管理者は、重要性分類Ⅰ・Ⅱの情報の記録されている媒体保管場所及びそれを取り扱う情報機器の設置場所への入退室管理について必要な措置を講じなければならない。

2)教職員の情報システムの機器管理について、教職員は研究室、事務室が不在となる場合には、施錠をするなど部外者の侵入を防ぐ措置を講じなければならない。

3)機器等の搬入・搬出については次のように定める。

①コンピュータ室等へ機器等を搬入・搬出する場合は、あらかじめ当該機器等の既存情報システムに対する安全性について、教職員による確認を行わなければならない。

②機器等の搬入・搬出には、教職員が立ち会う等の必要な措置を講じなければならない。

4)停電及び電圧異常などによりデータ等が破壊され、業務処理に支障を来たす恐れのある情報システム等の機器の電源は、当該機器を適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。

5)配線は、傍受又は損傷等を受けることがないよう可能な限り必要な措置をほどこさなければならない。

(2) 人的セキュリティ

1)利用者

①教職員は、ポリシーを遵守しなければならない。学生も情報システム利用者の一員として、情報セキュリティを維持する義務を有する。

②教職員は、情報セキュリティ実施手順を遵守して、利用しなければならない。さらに、システム管理責任者からセキュリティ維持管理のために協力を依頼された場合には従わねばならない。

③教職員は、情報セキュリティ実施手順について不明な点、遵守することが困難な点がある場合には、速やかに情報管理責任者に相談し、指示を仰がなければならない。

2)教育研究上の利便性の配慮

①情報セキュリティ対策について教育研究上の利便性を著しく損なう点、遵守することが現実的に困難な点については、最高情報セキュリティ責任者またはシステム管理責任者に対して、ポリシーおよび実施手順の改善を求めることができる。

②教職員および学生は、システム管理責任者の許可を得ずに情報端末等を研究室に持ち出してはならない。ただし、モバイル端末は、教育研究上の利便性を考慮し、その利用者の管理責任において、これを持ち出せるよう配慮する。

③教職員および学生以外の者(来学者)に学内の情報システム(公共情報端末や情報コンセントを含む)を一時的に使用させる場合においては、その利用者が守るべきポリシーを定め、これを遵守させるよう適切な措置を施さなければならない。

3)教育・研修

①情報セキュリティ委員会は、情報管理責任者向けの研修を開催しなければならない。

②情報セキュリティ委員会は、情報管理責任者が、情報管理者に行う研修プログラムの実施に必要な措置を施さなければならない。

③情報セキュリティ委員会は、システム管理責任者等が行う教職員向けのポリシーに関する研修の支援をしなければならない。また、教職員が行う学生向けのポリシーに関するオリエンテーションまたは講義に協力しなければならない。

④すべての教職員および学生は、研修会や説明会、または講義等を通じ、ポリシーおよび実施手順を理解し、情報セキュリティ上の問題が生じないように努めなければならない。

4)事故・障害の報告

①教職員および学生は、情報セキュリティに関する事故、情報システムの不審な動作、公開情報の改ざん、システム上の障害および誤動作を発見した場合には、システム管理責任者、または情報管理責任者に直ちに報告しなければならない。

②情報管理者および情報管理責任者は、報告のあった事故等について全てシステム管理責任者に通知するとともに、必要な措置を直ちに講じなければならない。必要ならば、システム管理責任者に措置に関して指示または支援を要請しなければならない。

③システム管理責任者は、発生した全ての情報セキュリティ上の事故等に関する記録を一定期間保存し、最高情報セキュリティ責任者に報告するとともに、重大な事故に対しては、迅速な再発防止のための対策を講じなければならない。

④法人内からの不正アクセスによって学外に被害を及ぼし、その事実関係の説明を被害者または第三者から求められた場合の対応手順を、規定として定めなければならない。

5)パスワード等の管理

①教職員および学生は、自己の保有するパスワードについて、不用意にもらしたりメモを作ったりしないようにするなど、パスワードの秘密保持に努めなければならない。

②他の利用者のアカウントを使用してはならない。

(3) 技術的セキュリティ

Ⅰ.情報システムの管理

1)情報システム管理記録の作成と管理

①情報管理責任者は、担当する情報システムにおいて行ったシステムの変更作業を記録し、適切に管理しなければならない。

2)情報システム仕様書の管理

①情報管理責任者は、担当する情報システムの仕様書を最新の状態にしなければならない。また、システムの仕様変更等の処理行った場合は、その記録を作成しなければならない。

②情報管理責任者は、情報システムの仕様書を業務上必要とする者のみが閲覧できる場所に保管しなければならない。

3)アクセス記録の取得

①情報管理責任者は、アクセス記録およびセキュリティ関連障害に関する記録を取得し、一定の期間保存しなければならない。

②情報管理責任者は、アクセス記録が窃取、改ざんまたは消去されないように必要な措置を講じなければならない。

③情報管理責任者は、可能な範囲でアクセス記録を分析しなければならない。

4)障害記録の作成情報管理責任者は、可能な範囲で障害記録を作成し、一定の期間保存しなければならない。

5)バックアップの取得

情報管理者は、重要性分類Ⅰ・Ⅱの情報については、外部媒体へのバックアップを取り、施錠等のできる安全な場所へ保管しなければならない。

6)ソフトウェア導入に関する注意

教職員および学生は、本学の貸与したパソコンに業務上不必要なソフトウェアおよび出所不明なソフトウェア等安全性が確認されないソフトウェアをインストールしてはなら

7)メールの送受信等

①教職員および学生は、メールの自動転送機能を用いて、業務上不必要な者へ職場のメールを転送してはならない。

②教職員および学生は、チェーンメールや不審なメールを他者に転送してはならない。

③教職員および学生は差出人が不明な、又は不自然なファイルが添付されたメールを受信した場合は、直ちに廃棄しなければならない。

8)暗号化

①暗号化については、最高情報セキュリティ責任者が定める方法を用いなければならない。

②暗号化のための鍵は、重要性分類Ⅰの情報として厳重に管理しなければならない。

9)情報システムの入出力データ

①情報管理責任者は、情報システムに入力されるデータの適切なチェック等を行い、それが正確であることを確実にするための対策を施こさなければならない。

②情報管理責任者は、情報システムから出力されるデータの処理が正しく行われていることを確認しなければならない。

10)業務目的以外の使用の禁止

教職員は業務目的以外での情報システムへのアクセス及びメールの使用を行ってはならない。

Ⅱ.情報システムアクセス制御

(1) 利用者登録

1)システム管理責任者は、情報システムの利用者の登録、変更、抹消等については、各情報システムに定められた方法に従わなければならない。

2)利用者登録、変更等は、システム管理責任者に対する申請により行なわなければならない。

(2) 外部からのアクセス

外部からのアクセスの許可は必要最低限にしなければならない。

(3) 外部ネットワークとの接続

1)外部ネットワークとの接続に際しては、当該外部ネットワークのネットワーク構成、機器構成及び情報セキュリティレベル等を詳細に検討し、本法人の情報資産に影響が生じないことを明確に確認した上で、システム管理責任者の許可に基づき接続しなければならない。

2)システム管理責任者は、外部ネットワークとの接続を行うことで内部ネットワークの安全性が脅かされることのないようにセキュリティ対策に努めなければならない。

3)接続した外部ネットワークの情報セキュリティに問題が認められた場合には、情報管理者は、速やかに当該外部ネットワークを物理的に遮断しなければならない。

4)内部ネットワークの情報セキュリティに問題が認められた場合には情報管理者は速やかに当該内部ネットワークを外部ネットワークから遮断しなければならない。

(4) パスワード等の管理

1)情報管理者は、情報機器のID、パスワードを厳重に管理しなければならない。

2)システム管理責任者は、ネットワーク並びにネットワーク上で利用される各種サービスのID、パスワードを適切に管理しなければならない。

6.コンピュータウイルス対策

コンピュータウィルス対策については、次のように定める。

(1) システム管理責任者は、次の事項を実施しなければならない。

1)情報システムのサーバ及び必要な機器にウイルス対策を行なうこと。

2)ウイルスチェック用のパターンファイルは常に最新のものに保つこと。

3)定期的に新種のウイルスに関する情報収集や情報システム内部の感染状況等について情報収集をすること。

4)コンピュータウイルス情報について、教職員に対する注意喚起を行なうこと。

5)コンピュータウイルスについて、教職員に対して必要な啓発活動を行うこと。

(2) 教職員および学生は、次の事項を遵守しなければならない。

1)外部からデータ又はソフトウェアを取り入れる場合、及び外部に持ち出す場合には必ずウイルスチェックを行うこと。

2)ウイルスチェックの実行を途中で止めないこと。

3)添付ファイルのあるメールを送受信する場合は、ウイルスチェックを行うこと。

4)システム管理責任者が提供するコンピュータウイルス情報を常に確認すること。

7.不正アクセス対策

(1) システム管理責任者は、セキュリティホール等の情報収集に努め、メーカー等から修正プログラムの提供があり次第、速やかに対応するとともに、その修正履歴を記録・保存しなければならない。

(2) システム管理責任者は、情報システムに不正な侵入や利用があった場合に探知等できるよう、適切な対策に努めなければならない。

(3) システム管理責任者は、情報システムに攻撃を受けていることが明らかな場合には、システムの停止を含め必要な措置を講じなければならない。

8.情報システムの監視

システム管理責任者は、情報システムの運用にあたっては、常に情報システムを監視するとともに情報セキュリティ障害に対して注意を払わなければならない。

9.ポリシーの遵守状況の確認

システム管理責任者及び情報管理者は、ポリシーの遵守状況について、また、運用上支障が生じてないかについて確認を行わなければならない。

10.セキュリティ障害時の対応

セキュリティ障害が生じた場合には、システム管理責任者及び情報管理者は速やかに対するとともに、以下の再発防止の措置を講じなければならない。

(1) 被害拡大の防止措置

1)システム管理責任者は、故意の不正アクセス又は不正操作により情報システムに障害を及ぼすことが明らかな場合には、情報システムの停止を含む必要な措置を講じなければならない。

2)情報管理者は、情報システムに障害を受け、その障害の原因となる行為が不正アクセス禁止法違反等の可能性がある場合には、行為の記録の保存に努めなければならない。

(2) 障害の調査

1)情報管理者は、セキュリティ障害が発生した場合、障害の発生を速やかにシステム管理責任者へ報告するとともに、次の項目について調査をしなければならない。

①障害の内容

②障害が発生した原因

③確認した被害、影響範囲

2)調査した内容は速やかにシステム管理責任者に報告しなければならない。ただし、障害が軽度のものについては報告を要しないものとする。障害について調査、処理できない場合、システム管理責任者に対応を求めることとする。

(3) 障害への対応

1)情報管理者は、システム管理責任者の指示の下に速やかにセキュリティ障害を復旧し、その措置についてシステム管理責任者に報告しなければならない。

2)障害が外部に重大な影響を及ぼすおそれがある場合には、システム管理責任者はすみやかに、最高情報セキュリティ管理者に報告のうえ必要な指示を仰がなければならない。

(4) 再発防止の措置

全学システム管理責任者は、必要な再発防止の措置を講じるとともに、その結果を最高情報セキュリティ責任者に報告しなければならない。

11.点検・見直し・改善

点検・見直し・改善については以下のように行なう。

(1) システム管理責任者及び情報管理責任者は、当該部署の情報セキュリティが確保されていることを確認するため、自主点検を行い、必要に応じて改善措置を講じるものとする。

(2) 最高情報セキュリティ責任者は、点検・見直し・改善が必要となる事象が発生した場合には、情報セキュリティ委員会に諮り必要な見直しを行い、適切なポリシーの維持および運用に努めるものとする。

学校法人藤田学院における情報セキュリティポリシー

 年番号なし

(平成30年7月1日施行)

体系情報
第1編 法人に関する規程
沿革情報
年番号なし