○佛教大学情報セキュリティポリシー
平成25年4月1日
第1章 情報セキュリティの基本方針
(目的)
第1条 佛教大学(以下「本学」という。)において,情報資産は教育・研究活動を推進する上で重要な資産である。情報資産が守られなければ,本学の教育・研究活動の停滞,本学に対する社会的な信頼の喪失などの被害を受ける可能性が出てくる。したがって,本学が提供するサービスを利用する者が,情報資産を適切且つ厳密に管理運用するため,情報セキュリティポリシー(以下「ポリシー」という。)を定め,情報セキュリティの重要性への理解を促進するものである。
(基本方針)
第2条 前条の目的を達成するため,本学情報システムは,円滑で効果的な情報流通を図るために,以下に定めるポリシーにより,優れた秩序と安全性をもって安定的且つ効率的に運用され,全学に供用される。
(1) 情報システム
情報処理および情報ネットワークにかかわるシステムで,本学により,所有または管理されているもの,本学との契約あるいは他の協定に従って提供されるものをいう。
(2) 情報ネットワーク
本学により,所有または管理されている全ての情報ネットワークおよび,本学との契約あるいは他の協定に従って提供される全ての情報ネットワークをいう。
(3) 情報資産
情報システム内部に記録された情報,情報システム外部の電磁的記録媒体に記録された情報,情報システムに関係がある書面に記載された情報をいう。
(4) 情報機器
コンピューター,タブレット端末,スマートフォン等をいう。
(5) 要保護情報
機密情報の漏洩や滅失,毀損,改竄等によって個人の権利侵害や大学の信用の失墜などの問題が発生することが予想されることから,何らかの保護が必要とされる情報をいう。
(6) 情報セキュリティ
情報資産の機密性,完全性および可用性を維持することをいう。
(7) 各部署の管理対象情報システム
本学情報システムの内,各部署が運用責任を持つ情報システムをいう。
(8) 利用者
本学の教職員(客員教授,非常勤講師,派遣職員,パート職員を含む。)(以下「教職員等」という。),通学・通信の学部生,大学院生(以下「学生」という。),研究員,研究生,通学・通信の科目等履修生(以下「科目等履修生」という。),別科生,その他管財部長が許可したものをいう。
(9) アカウント
本学情報システムの利用に当たって用いる認証情報をいう。
(10) インシデント
情報セキュリティに関し,故障を含む意図的または偶発的に生じる事故や事件,本学規程または法律に反して発生させた事故あるいは事件をいう。
(対象範囲)
第4条 本ポリシーの対象は本学の情報システムの利用者,本学の情報システムを利用する委託業者,および本学が情報セキュリティの遵守が必要と認めた者とする。
第2章 組織体制
(総括情報責任者)
第5条 本学情報システムの運用に関する権限と責任を持ち,情報システムに関する業務を大学戦略の面から意思決定・判断し,統括的に管理・執行するため,総括情報責任者を置き,学長をもってあてる。
2 学長が出張等により不在の場合および学長に事故がある場合は,副学長が業務を代行する。
(情報システム委員会)
第6条 情報システム開発,情報ネットワークの整備,情報戦略,情報セキュリティ,学生・教職員等に対するICTを活用したサービス,情報システムに関する研修およびこれらの中長期計画に関する審議機関として,情報システム委員会を設ける。
2 情報システム委員会に関する規程は,別に定める。
(運用実施責任者)
第7条 運用実施責任者(以下「実施責任者」という。)を置き,学長が命ずる「情報推進室長」をその任にあてる。
2 実施責任者は,大学全体の情報システムおよびセキュリティのあり方,情報システムの運用計画の立案,運用管理指標の設定等に関する業務を行なう。
(運用管理責任者)
第8条 運用管理責任者(以下「管理責任者」という。)を置き,管財部長をその任にあてる。
2 管理責任者は,学内情報ネットワークおよび,それに接続される情報システムおよび情報機器の管理・セキュリティに関する運用管理業務を行なう。
(部局運用管理責任者)
第9条 部局に部局運用管理責任者を置き,管理責任者がこれを統括する。
2 部局運用管理責任者は,各部長をその任にあてる。
3 部局運用管理責任者は,各部局の管理対象を含む情報システムおよび情報機器の管理・セキュリティを総括する。
(情報運用担当者)
第10条 情報運用担当者(以下「運用担当者」という。)を置き,情報システム課長をその任にあてる。
2 運用担当者は,本ポリシーに従い学内情報ネットワークおよび,それに接続される情報システムおよび情報機器の運用・セキュリティ対策を実施する責任を有する。
(部局情報運用担当者)
第11条 部局の各課に部局情報運用担当者を置き,各課長をその任にあてる。
2 部局情報運用担当者は本ポリシーに従い,当該課の利用者にその運用を守らせる責任を負うと共に,利用状況について点検を行なう。また,管理対象範囲の情報システムおよび情報機器等のセキュリティを維持・管理する。
(管理運営部局)
第12条 本学における情報システムの運用および管理ならびに情報セキュリティ対策の推進に関して,その管理運営にあたる部署は,管財部情報システム課とする。
2 管財部情報システム課は,以下の各号に定める事務を行なう。
(1) 情報システムおよび情報ネットワークに対する管理,運用およびセキュリティ対策の実施
(2) 本学情報システムの運用と利用におけるポリシーの実施状況の取りまとめ
(3) 教育・研修計画,リスク管理および非常時行動計画等の実施状況の取りまとめ
(4) 本学の情報システムのセキュリティに関する連絡と通報
(5) 情報システム委員会の運営に関する事務
(内規の制定)
第13条 本ポリシーに定めるもののほか,情報システムの利用に関する必要な内規は,情報システム委員会の審議を経て,実施責任者が定める。
第3章 情報システム運用規則
(情報の格付けと取扱い)
第14条 教職員等は,組織的に取り扱う情報を次に定める格付けの区分および分類の基準に応じ,それぞれに格付けを指定するものとする。
(1) 機密性についての格付けの区分および分類
格付けの区分 | 分類の基準 |
機密性3情報 | 機密性を要する情報 |
機密性2情報 | 機密性は要しないが,直ちに一般に公表することを前提としていない情報 |
機密性1情報 | 機密性2情報又は機密性3情報以外の情報 |
(2) 完全性についての格付けの区分および分類
格付けの区分 | 分類の基準 |
完全性2情報 | 改ざん,誤びゅうまたは破損により,国民または本学関係者の権利が侵害されまたは本学の業務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報(書面を除く。) |
完全性1情報 | 完全性2情報以外の情報(書面を除く。) |
(3) 可用性についての格付けの区分および分類
格付けの区分 | 分類の基準 |
可用性2情報 | 滅失,紛失又は当該情報が利用不可能であることにより,国民又は本学関係者の権利が侵害され又は本学の業務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報(書面を除く。) |
可用性1情報 | 可用性2情報以外の情報(書面を除く。) |
2 前項第1号に規定する格付けの区分のうち,機密性2情報および機密性3情報を要機密情報という。
3 第1項第2号に規定する格付けの区分のうち,完全性2情報を要保全情報という。
4 第1項第3号に規定する格付けの区分のうち,可用性2情報を要安定情報という。
6 教職員等は,前項の要保護情報の取扱いに当たっては,細心の注意を払わなければならない。
7 情報の取扱制限は,機密性,完全性および可用性の観点から行なうものとし,各観点における取扱制限の区分については,次の各号に掲げるとおりとする。
(1) 要機密情報についての取扱制限
取扱制限の種類 | 取扱制限の指定例 |
複製について | 複製禁止,複製要許可 |
配付について | 配付禁止,配付要許可 |
暗号化について | 暗号化必須,保存時暗号化必須,通信時暗号化必須 |
印刷について | 印刷禁止,印刷要許可 |
転送について | 転送禁止,転送要許可 |
転記について | 転記禁止,転記要許可 |
再利用について | 再利用禁止,再利用要許可 |
送信について | 送信禁止,送信要許可 |
参照者の制限について | 関係者限り |
(2) 要保全情報についての取扱制限
取扱制限の種類 | 取扱制限の指定例 |
保存期間について | ○年間保存,学生の卒業(修了)まで保存 |
保存場所について | 安全区域内の情報システムに保存,施設管理されたロッカー等に保存 |
書換えについて | 書換禁止,書換要許可 |
消去について | 消去禁止,消去要許可 |
保存期間満了後の措置について | 保存期間満了後要廃棄 |
(3) 要安定情報についての取扱制限
取扱制限の種類 | 取扱制限の指定例 |
復旧までに許容できる時間について | ○時間以内復旧,○日以内復旧 |
保存場所について | 共有ファイルサーバ保存必須,各自PC保存可 |
2 教職員等は,前項に規定する格付けおよび取扱制限の決定に当たっては,要件に不足が生じないように注意するものとする。
(格付けおよび取扱制限の指定)
第16条 教職員等は,情報の作成時または情報を入手しその管理を開始するときは,前条により決定した格付けおよび取扱制限に基づき,その指定を行なうものとする。
(格付けおよび取扱制限の明示等)
第17条 教職員等は,情報の格付けおよび取扱制限を指定した場合には,それを認識できる方法を用いて明示等をするものとする。
2 前項の規定にかかわらず,書面において機密性1の格付けを指定した場合には,当該格付けの明示を省略することができる。
(格付けおよび取扱制限の継承)
第18条 教職員等は,情報を作成する際に,参照した情報または入手した情報が既に格付けまたは取扱制限が指定されている場合には,元となる格付けおよび取扱制限を継承するものとする。
(格付けおよび取扱制限の再指定)
第19条 教職員等は,元の情報の修正,追加または削除により,他者が指定した情報の格付け及び取扱制限を再指定する必要があると判断される場合は,決定及び指定するものとする。
2 相談者または被相談者は,情報の格付けおよび取扱制限について見直しを行なう必要性の有無を検討し,必要があると認めた場合には,当該情報に対して新たな格付けおよび取扱制限を決定または指定するものとする。
3 相談者または被相談者は,情報の格付けおよび取扱制限を見直した場合には,それ以前に当該情報を参照した者に対して,その旨を可能な限り周知し,同一の情報が異なる格付けおよび取扱制限とならないように努めるものとする。
(変更後の指定者)
第21条 情報の格付けおよび取扱制限を変更する教職員等(以下「変更者」という。)は,変更後の格付けおよび取扱制限の指定者について,次の各号に掲げる方法により,指定者を明確にするものとする。
(1) 変更前の指定者が継続する。
(2) 変更者が新たな指定者となる。
(既存の情報についての措置)
第22条 教職員等は,この要項の施行日以前に作成または入手した情報を取り扱う場合であっても,当該情報の格付けを行ない,必要に応じて,取扱制限の指定を行なわなければならない。
(情報資産の管理)
第23条 管理責任者は,要保護情報を取り扱う情報システムについては,通信回線を用い送受信される要保護機密情報の暗号化を行う必要性の有無を検討し,必要があると認めたときは情報を暗号化すること。
2 管理責任者は情報システムの運用を終了する場合には,システムに保存されている全ての情報を復元が困難な状態にすること。
3 各部署がファイル共有のために利用する共有フォルダーには,共有が必要とされる情報のみを掲載し,利用者を限定する場合には情報にアクセス制限を設けること。
4 前項の共有フォルダー利用者は,フォルダー内情報の作成日時,作成者,バージョン等が利用者にわかるように明示し,不要となった情報は速やかに廃棄すること。
5 毎年,共有フォルダー内の情報に対してその必要性を検証し,保存が必要とされず,原則1年間アクセスのない情報は廃棄すること。
(アクセス制御)
第24条 管理責任者は,利用者が要保護情報を扱う情報システムにログインする場合,主体認証を行なえるようなシステムを構成すること。
2 管理責任者は,通信回線を経由してサーバ装置にアクセスして保守作業を行なう場合は,暗号化を行なう必要性の有無を検討し,必要があると認めたときには情報を暗号化すること。
3 各部署の管理対象情報システムにおけるアカウント管理は各部の課長が行ない,利用者のアカウント管理が管財部情報システム課で管理されているものにおいては,業務または業務上の責務に即してアカウントが必要と判断された場合には,その利用申請を管財部情報システム課に文書で提出すること。また,アカウントに応じたアクセス制限が必要な場合には,その内容を管財部情報システム課に依頼すること。
(アカウント管理)
第25条 管理責任者はアカウント管理を行なう必要があると認めた情報システムにおいて,管理者権限を持つアカウントを,業務または業務上の責務に即した場合に限定して付与すること。
2 管理責任者は,セキュリティ侵害またはその可能性が認められる場合,利用者に主体認証情報(パスワード)の変更を求め,またはアカウントを失効させることができる。
3 管理責任者は,発行済のアカウントについて,次号に掲げる項目を随時確認し,停止が必要と判断されたときは,速やかにそのアカウントを停止すること。
(1) 利用資格を失ったもの
(2) 当該アカウントを必要とする情報システムの利用が必要なくなったもの
4 利用者は情報システムのアクセスに必要な自分の主体認証となるユーザIDおよびパスワードを第三者に貸与,譲渡,漏えいしてはいけない。また,それらが容易に目に付く場所に表示するなどして,意図せずに使われることがないよう管理すること。
5 アカウントは利用者別に異なるものを付与すること。
6 全ての利用者は他者のアカウントを使って情報システムにアクセスしてはならない。
7 部局情報運用担当者は,当該部署が管理する利用者がポリシーに即してアカウントを利用していることを管理する責任を有する。
8 各課の業務管理者は,利用する教職員等に変更が生じた場合には,速やかに変更内容を管財部情報システム課に文書で伝え,アカウントの抹消依頼,変更依頼,新規作成依頼等を行なう。
9 部課メールなど,同じメールアドレスを複数の利用者が使っている場合には,利用者に変更があった時点で,当該課の業務管理者はメールアクセスのパスワードを変更しなければならない。
(アカウント交付申請)
第26条 利用者は,「佛教大学情報システム利用申請書」を管財部情報システム課に提出し,管理責任者からアカウントの交付を得なければならない。
2 本学の教職員等,学生,研究員,研究生,科目等履修生,別科生は,就任時や入学時等にアカウントの交付を得る場合の申請を不要とする。
(アカウントの有効期限)
第27条 本学の教職員等,学生,研究員,研究生,科目等履修生,別科生のアカウントの有効期限は,在職期間,委嘱期間または在学期間とする。
2 管理責任者が許可した者は,その必要期間に限定するものとする。
(サーバ装置の対策)
第28条 管財部情報システム課は,要保護情報を取り扱うサーバ装置に保存されている情報について,定期的にバックアップを取得すること。また,取得した情報を記録した媒体は,安全に管理すること。
2 管財部情報システム課は,サーバ装置の運用管理について,作業日,作業を行なったサーバ装置,作業内容および作業者を含む事号を記録すること。
(セキュリティホール対策)
第29条 管理責任者は,情報システムに関する脆弱性の診断を定期的に実施し,セキュリティの維持に努めること。
2 管理責任者は,情報システムについて,セキュリティホール対策が必要となる機器情報を収集し,当該機器上で利用するソフトウェアに関連する公開されたセキュリティ対策を実施すること。
(不正プログラム対策)
第30条 管理責任者は,不正プログラムから情報システムを保護するため,アンチウイルスソフトウェアを導入する等の対策を実施すること。
2 学生が利用することを前提に学内に設置したコンピュータでは,プログラムのネットワークからのダウンロードやインストールにより,セキュリティの侵害が起こらないように,コンピュータにソフトウェアのインストール権限の設定を行なうこと。
3 学生が利用することを前提に学内に設置したコンピュータでは,再起動することにより,利用開始時の初期状態に戻るように設定を行なうこと。
4 利用者は大学のネットワークに接続する情報機器にプログラムをダウンロードする場合には,セキュリティ面からプログラムの信頼性を確認し,細心の注意を払って行なうこと。
5 利用者は大学のネットワークに接続する情報機器に最新のウイルス対策ソフトをインストールし,セキュリティ面の細心の注意を払うこと。
(証跡管理)
第31条 利用者等によるネットワークを通じて行なわれる通信の傍受を禁止する。但し,実施責任者および管理責任者は,セキュリティ確保のため,あらかじめ指定した者にネットワークを通じて行なわれる通信の監視(以下「監視」という。)を行なわせることができる。なお「監視」を指定された者については,その者が判明できる情報を公表してはならない。
2 不正アクセス行為またはこれに類する重大なセキュリティ侵害に対処するために,特に必要と認められる場合,実施責任者および管理責任者は,セキュリティ侵害の緊急性,内容および程度に応じて,対処のために不可欠と認められる情報については,指定した者以外においても,監視を行なうよう命ずることができる。
3 監視を行なう者は,監視によって知り得た通信の内容は,実施責任者または管理責任者,および伝達を認められた者以外に公表してはならない。
4 実施責任者および管理責任者は,監視を行なう者に対して,監視記録を保存する期間をあらかじめ指示するものとする。監視を行なう者は,指示された期間を経過した監視記録は直ちに破棄しなければならない。但し,監視記録から個人情報に係る部分を削除して,ネットワーク運用・管理のための資料とすることができる。資料は,体系的に整理し,常に活用できるよう保存することが望ましい。
5 監視を行なう者および監視記録の報告を受けた者は,ネットワーク運用・管理のために必要な限りにおいて,これを閲覧且つ保存することができる。なお,上記以外の者については,実施責任者または管理責任者の許可なく閲覧してはならない。
6 不必要となった監視記録は,直ちに破棄しなければならない。監視記録の内容を,法令に基く場合等を除き,他の者に公表してはならない。
7 報告を受けた通信情報については,実施責任者および管理責任者の協議の上,管財部情報システム課を通じて,情報システム委員会へ報告すると同時に総括情報責任者に報告するものとする。
(学外の情報機器の持ち込み)
第32条 利用者が学外の情報機器を本学ネットワークに接続する場合の規程等は,別に定める。
(インシデント対応)
第33条 管理責任者は,情報セキュリティに関するインシデントが発生した場合,被害の拡大を防ぐとともに,インシデントから復旧するための体制を整備すること。
2 管理責任者は,インシデントが発生した際の対応手順を整備すること。
3 管理責任者は,インシデントに備え本学の教育・研究,事務の遂行のため特に重要と認めた情報システムについて,各部署の部署長の緊急連絡先,連絡手段,連絡内容を含む緊急連絡網を整備すること。
4 管理責任者は,インシデントが発生した場合には,インシデントの原因を調査し再発防止策を策定し,その結果を報告書として管理責任者および総括情報責任者に報告すること。
(利用記録)
第34条 複数の者が利用する情報機器の管理者は,当該機器に係る利用記録(以下「利用記録」という)をあらかじめ定めた目的の範囲でのみ採取することができる。当該目的との関連で必要性の認められない利用記録を採取することはできない。
(外部委託管理)
第35条 管理責任者は,本学情報システムの運用業務のすべてまたはその一部を第三者に委託する場合には,当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。
2 外部委託契約を行なう場合は,委託先に請け負わせる業務の情報セキュリティ対策,機密保持(情報の目的外利用の禁止を含む),情報セキュリティ侵害発生時の対処手順および情報セキュリティ対策の履行が不十分である場合の対処手順を含み,それらを充分に確認した上で,委託契約を取り交わすこと。
3 原則として,委託先がその請負内容の全部または一部を第三者に再請負させることを禁止すること。但し,委託先からの申請を受け,再請負させることにより生ずる脅威に対し,情報セキュリティが十分に確保される措置が担保されると部署長が判断する場合は,その限りではない。
4 委託先に提供する情報を必要最低限とし,委託先が要保護情報を取り扱う場合,以下の実施手順に従うこと。
(1) 委託先に情報を移送する場合は,不要部分のマスキングや暗号化等,安全な受渡方法により実施し,移送した記録を保存すること。
(2) 外部委託の業務終了等により情報が不要になった場合には,直ちに返却させるか,廃棄させること。
(利用者管理)
第36条 情報システム利用者等が変更した場合には,当該利用者を管理する部署長は変更の内容を遅滞なく管財部情報システム課に文書で連絡すること。
2 管理責任者は,情報システムの利用者を特定するための文書および利用者データベースに変更内容を反映すること。また,当該変更の記録を保存すること。
(ウェブの利用および公開)
第37条 利用者は,ウェブブラウザを利用したウェブサイトの閲覧,情報の受信,ファイルのダウンロード等を行なう際には,不正プログラムの感染,情報の漏えい,誤った相手への情報の送信等に注意するだけでなく,業務時間中における私的目的でのウェブの閲覧,掲示板への無断書き込み,その他業務効率の低下や本学の社会的信用を失わせることのないよう注意しなければならない。
2 利用者は,担当部署長に許可を得た場合にウェブページを作成し,公開することができる。ウェブページの公開にあたって,セキュリティや著作権等の問題および本学の社会的信用を失わせることのないように配慮しなければならない。
(安全管理義務)
第38条 利用者は,自己の管理するコンピュータについて,本学情報ネットワークとの接続状況に関わらず,安全性を維持する一次的な担当者となることに留意し,次の各号に定めるように,悪意あるプログラムを導入しないように注意しなければならない。
(1) アンチウイルスソフトウェア等により不正プログラムとして検知される実行ファイルを実行せず,データファイルをアプリケーション等で読み込まないこと。
(2) アンチウイルスソフトウェア等にかかわるアプリケーションおよび不正プログラム定義ファイル等について,これを常に最新の状態に維持すること。
(3) アンチウイルスソフトウェア等による不正プログラムの自動検査機能を有効にしなければならない。
(4) アンチウイルスソフトウェア等により定期的にすべての電子ファイルに対して,不正プログラムの有無を確認すること。
(5) 外部からデータやソフトウェアを電子計算機等に取り込む場合または外部にデータやソフトウェアを提供する場合,不正プログラム感染の有無を確認すること。
(6) ソフトウェアのセキュリティ機能を活用し,不正プログラム感染の予防に努めること。
2 利用者は自己が管理する情報機器に不正プログラム感染が発見されたときには,すぐにネットワークから当該機器を切り離し,ネットワークを介した他のシステムへの影響を防ぐこと。
3 利用者は可搬型メモリー内の不正プログラム感染チェックを随時行ない,セキュリティを維持すること。また感染が発見された場合にはそれを削除するか,当該メモリーの使用を止めること。
4 利用者は,本学情報ネットワークおよびシステムの利用に際して,インシデントを発見したときは,当該システムを管理する部署長もしくは管理責任者にその内容を報告しなければならない。
5 利用者は,本ポリシー,関連規程および各種内規等を遵守しなければならない。
(禁止事項)
第39条 利用者は本学情報システムについて,次の各号に定める行為を行なってはならない。
(1) 当該情報システムおよび情報について定められた目的以外の利用
(2) 差別,名誉毀損,侮辱,ハラスメントにあたる情報の発信
(3) 個人情報やプライバシーを侵害する情報の発信
(4) 守秘義務に違反する情報の発信
(5) 著作権等の財産権を侵害する情報の発信
(6) 通信の秘密を侵害する行為
(7) 営業ないし商業を目的とした本学情報システムの利用
(8) 部署長の許可(業務上の正当事由)なくネットワーク上の通信を監視し,または情報機器の利用情報を取得する行為
(9) 「不正アクセス禁止法」に定められたアクセス制御を免れる行為,またはこれに類する行為
(10) 部署長の要請に基かずに管理権限のないシステムのセキュリティ上の脆弱性を検知する行為
(11) 過度な負荷等により本学の円滑な情報システムの運用を妨げる行為
(12) その他法令に基く処罰の対象となりまたは損害賠償等の民事責任を発生させる情報の発信
(13) 上記の行為を助長する行為
(14) 管理責任者の許可をえずソフトウェアのインストールやコンピュータの設定の変更を行なう行為
2 利用者は,ファイルの自動公衆送信機能を持ったP2Pソフトウェア(ファイル共有ソフト)については,教育・研究目的以外にこれを利用してはならない。このようなP2Pソフトウェアを教育・研究目的に利用する場合は管理責任者の許可を得なければならない。
(違反と例外措置)
第40条 利用が前条に掲げる事項に違反すると認められた場合,部署長は速やかに調査を行ない,事実を確認するものとする。事実の確認にあたっては,可能な限り当該行為を行なった者の意見を聴取しなければならない。
2 部署長は,上記の措置を講じたときは,遅滞無く管理責任者にその旨を報告しなければならない。
3 管理責任者は,調査によって違反行為が判明したときには,次の各号に掲げる措置を講ずることができる。
(1) 行為者に対する当該行為の中止命令
(2) 当該行為に係る情報発信の遮断命令
(3) 当該行為者のアカウント停止命令,または削除命令
(4) 本学の懲罰委員会への報告
(5) その他法令に基く措置
5 管理責任者は,情報セキュリティ関係規程への重大な違反の報告を受けた場合および自らが重大な違反を知った場合および上記の措置を講じた場合は,遅滞無く管理責任者および統括情報責任者にその旨を報告すること。
(情報システムの利用制限)
第41条 管理責任者は,次の場合,情報システムの全部または一部の利用を制限することがある。
(1) 保守・点検作業
(2) 事故または障害発生時
(3) 緊急の処理が必要な場合
(4) 天災等やむを得ぬ事態が生じた場合
2 利用を制限する場合は,管理責任者が決裁し,システム上で事前に周知する。但し,緊急やむを得ない場合は,この限りではない。
(利用者に対する利用停止)
第42条 管理責任者は,利用者が次のいずれかに該当する場合には,当該利用者による情報システムの利用の停止を行なうことがある。
(1) 本ポリシーに違反した場合
(2) 前号の他,本ポリシーの義務を怠り,または怠る恐れがある場合
(3) 適正利用のための指導に従わない場合
2 管理責任者は,前項の規定により情報システムの利用を停止する時は,あらかじめその理由,利用停止する日および期間または停止を解除する条件を利用者に通知する。但し,緊急やむを得ない場合は,この限りではない。
(他ネット接続)
第43条 情報システムの取扱いに関しては,外国の法令,国内外の電気通信事業者等が定める契約約款等により制限されることがある。
2 利用者が国内外の他のネットワークを経由して通信を行なう場合,利用者は,経由するすべての国の法令等,通信業者の約款等およびすべてのネットワークの規則に従うものとする。
(情報システムの変更,追加または廃止)
第44条 管理責任者は,情報システムの全部または一部を変更,追加または廃止することがある。
2 変更,追加または廃止する場合,管理責任者が決裁し,システム上で事前に周知する。但し,緊急やむを得ない場合は,この限りではない。
(教育・研修)
第45条 管理責任者は,本ポリシーについて,利用者に教育すべき内容を検討し,教育のための資料を整備すること。
2 管理責任者は,利用者が毎年度最低一回以上受講できるように,情報セキュリティ対策の教育に係る計画を企画,立案するとともに,その実施体制を整備すること。
3 管財部情報システム課は利用者からの情報セキュリティ対策に関する相談に対応すること。
4 部局運用管理責任者は管理責任者の指示により,部局の構成員に対して,情報セキュリティ対策の教育を実施すること。
(規程の改廃)
第46条 本ポリシーの改廃は,情報システム委員会の議を経て,大学評議会の承認を得なければならない。
附則
第1条 本ポリシーは,平成25年4月1日から施行する。但し,本ポリシーは「佛教大学情報セキュリティの基本指針」(平成24年4月1日施行)の表題および条文を改正し,新規に制定したものである。
第2条 本ポリシーは,平成26年4月1日から改正施行する。
第3条 本ポリシーは,平成28年4月1日から改正施行する。
第4条 本ポリシーは,令和3年4月1日から改正施行する。
第5条 本ポリシーは,令和4年4月1日から改正施行する。
別表第1(第15条第1項関係)
情報の種類に基づく機密性の分類例(情報の作成時又は情報を入手しその管理を開始するときの,格付けおよび取扱制限の決定の例示)
情報類型の例 | 格付けの例 | 取扱制限の例 |
入試関連情報 学生情報 学生成績関連情報 入学料,授業料等減免関連情報 職員等人事関連情報 学内ネットワーク関連情報 情報セキュリティ監査関連情報 共同研究者関連情報 卒論,修論等研究論文関連情報 学会等発表前研究論文関連情報 学会誌掲載審査研究論文関連情報 講義試験関連情報 図書館貸出等利用者関連情報 開発ソフトウェア関連情報 学内情報システム関連情報 | 機密性3情報 | 複製禁止,配付禁止,暗号化必須,転送禁止,再利用禁止,送信禁止,配付要許可,再利用要許可,関係者限り,教職員等限りなど ※取扱制限は,必要に応じて決定するものであり,必ず決定するものではない。 |
学内各種委員会関連情報 教授会関連情報 部局内会議関連情報 人事異動関連情報 研究費申請等事務関連情報 学内,部局内連絡関連情報 勉強会,研究会,講義等関連情報 図書館入館者関連情報 研究業績関連情報 | 機密性2情報 | |
大学案内 HP掲載関連情報 本学広報誌 本学研究年報 学生募集要項 学会等発表済研究論文関連情報 | 機密性1情報 |
(1) 機密性の格付けについては,秘密文書に相当する機密性を要する情報であり,[教職員等のうち,特定の者だけがアクセスできる状態を確保されるべき]情報は機密性3情報に,[教職員等以外がアクセスできない状態を確保されるべきであるが,特定の者に限定する必要がない]情報は機密性2情報に,それ以外の公表済みの情報,公表しても差し支えない情報には,機密性1情報に決定する。
(2) 完全性の格付けについては,情報が破壊,改ざん又は消去されていない状態を確保されるべき情報は完全性2情報に,それ以外の情報は,完全性1情報に決定する。
(3) 可用性の格付けについては,情報へのアクセスを認可された者が,必要時に中断することなく,情報および関連資産にアクセスできる状態を確保されるべき情報は可用性2情報に,それ以外の情報は可用性1情報に決定する。