甲南学園情報セキュリティポリシー

平成26年11月28日
理事会制定

 (基本方針)
第1条 本学園のすべての情報資産の保全のため、情報セキュリティ対策の包括的な指針を定める。本学園の役員、教職員、学生、生徒等(以下「構成員」という。)及び本学園が提供する情報サービスを使用するすべての関係者は、本ポリシーを理解し、遵守するとともに、本学園における教育・研究活動及び運営において情報資産の活用と保全に努めなければならない。
 
(目的)
第2条 本ポリシーは、次の各号の目的のための遵守事項をまとめたものである。
(1) 本学園の情報セキュリティに対するすべての侵害からの防御
(2) 本学園内外の情報セキュリティを損ねる加害行為の阻止
(3) 本学園の情報資産に関する重要度に応じた管理の徹底
(4) 本学園内における情報セキュリティ侵害等の早期検出と迅速な対応
 
(定義)
第3条 本ポリシーにおける用語の定義は、次の各号のとおりとする。
(1) 「情報資産」とは、電磁的に記録された情報及び情報システムの総称をいう。
(2) 「情報セキュリティ」とは、情報資産の機密性、完全性及び可用性を維持することをいう。
(3) 「インシデント」とは、意図的又は偶発的に生じる、情報セキュリティを脅かす事象をいう。
 
(対象)
第4条 本ポリシーの対象範囲は、本学園の保有するすべての情報資産及び本学園のネットワークに接続される情報機器等とする。
2  本ポリシーの対象者は、構成員並びに本学園の情報資産を使用する委託業者及び来訪者等とする。
 
(組織)
第5条 情報セキュリティ対策に関して次の組織を置く。
(1) 情報セキュリティ最高責任者
  情報セキュリティ最高責任者(以下「最高責任者」という。)は、本学園のすべての情報セキュリティに関する総括的な権限と責任を有し、理事長がこれにあたる。
(2) 情報セキュリティ管理者
  情報セキュリティ管理者(以下「管理者」という。)は、本学園の情報セキュリティを管理し、情報システム室長がこれにあたる。
(3) 情報セキュリティ代表責任者
  情報セキュリティ代表責任者(以下「代表責任者」という。)は、大学又は高等学校・中学校における情報セキュリティに関する統括的な権限と管理責任を有し、大学にあっては学長、高等学校・中学校にあっては校長がこれにあたる。
(4) 情報セキュリティ部局責任者
  情報セキュリティ部局責任者(以下「部局責任者」という。)は、大学の各学部・大学院・センター等、高等学校・中学校及び各事務部課室(以下「各部局等」という。)における情報セキュリティに関する統括的な権限と管理責任を有し、各所属長等がこれにあたる。
2 各部局等で管理する情報機器等のアクセス権限、ネットワーク接続等に関する諸設定等、情報資産のセキュリティ上の管理に携わる者として、情報セキュリティ担当者を置くことができる。
 
(責務)
第6条 最高責任者は、代表責任者及び部局責任者を通じて、各部局等に本ポリシーを遵守させなければならない。
2 管理者の責務は、次の各号のとおりとする。
(1) 最高責任者を補佐し、最高責任者に対し全学の情報セキュリティ管理に関し、技術的に必要な措置をとるよう意見を具申するとともに、情報セキュリティの保持のため、必要な措置を講じなければならない。
(2) 情報セキュリティに関するインシデントが発生した場合には、次のとおり対処しなければならない。
(ア) 不正アクセス若しくはこれに類する情報システムの異常事態を発見し、又はその報告を受けた場合は、原則として、最高責任者の指示により、関連する通信の遮断又は関連する情報機器等の切り離し、電源切断など、技術的に必要な措置を講ずる。
(イ) 緊急の場合においては、管理者の責務として(ア)の措置を講ずる。
(ウ) 発生したインシデントについて、最高責任者並びに関連する部局等の代表責任者及び部局責任者に報告するとともに、再発防止のため必要な措置を講ずる。
(3) 構成員に対し、本ポリシー及び情報セキュリティに関する意識の啓発その他の必要な施策を講じなければならない。
3 代表責任者は、大学又は高等学校・中学校において、インシデントが発生し、又は予見された場合は直ちに管理者に報告し、必要な措置を講じなければならない。
4 部局責任者の責務は、次の各号のとおりとする。
(1) 各部局等に所属する構成員に本ポリシーを周知し、その遵守を徹底しなければならない。
(2) 各部局等において、インシデントが発生し、又は予見された場合は、直ちに管理者に報告し、必要な措置を講じなければならない。
(3) 各部局等において担当者を設置しない場合は、次項に定める担当者の責務についても負うものとする。
5 担当者の責務は、次の各号のとおりとする。
(1) 各部局等で管理する情報機器等を維持管理し、運用に即した設定や情報セキュリティ維持の責任を負う。
(2) 不正アクセス等を発見した場合、直ちに部局責任者に報告するとともに、適切な措置を講じなければならない。
(3) 利用が認められた者以外の者に情報機器等の利用を許可してはならない。
(4) 委託業務等により学外者に本学園の情報機器等を利用させる場合は、本ポリシーを示し、これを遵守させるとともに、アクセス違反、情報の漏えい、改ざん等の防止を図るために必要な措置を講じなければならない。
(5) 来訪者等の構成員以外の者に本学園の情報機器等を一時的に利用させる場合は、本ポリシーを示し、これを遵守させなければならない。
(6) 情報セキュリティに関する情報に注意を払い、最新の安全状況を維持するように努めなければならない。
6 本学園の構成員の責務等は、次の各号とする。
(1) 本ポリシーを理解し、これを遵守しなければならない。また、ガイダンスや研修等を通じて情報セキュリティに関する理解を深めなければならない。
(2) ウイルス、ワーム等に感染している情報機器等及びセキュリティの重大な欠陥が周知となっている情報機器等を本学園のネットワークに接続してはならない。
(3) アカウント名及びパスワードが漏えいしないよう管理しなければならない。また、他の構成員等のアカウントを用いてはならない。
(4) 情報機器等を廃棄する場合は、情報の漏えいを防止するために必要な措置を講じなければならない。
 
(情報の管理)
第7条 本学園における電磁的に記録された情報については、その重要度に応じて、管理方法及び責任の所在を明確にしておかなければならない。また、本ポリシーのほか、個人情報保護法及び本学園の定める関連規程に基づいて、次の各号のとおり情報を取り扱わなければならない。
(1) 構成員は、原則として自ら作成した電磁的に記録された情報について管理責任を負うとともに、情報の内容や重要度に応じたアクセス権の設定、バックアップの作成、改ざん防止、盗難及び紛失防止等の必要な措置を講じなければならない。また、アクセス権を設定する場合には、個人情報の有無、著作権に係る問題の有無など、情報の内容を十分踏まえなければならない。
(2) 本学園の情報資産及び本学園のネットワークに接続される情報機器等を利用する者(以下「利用者」という。)は、情報を入手又は利用する際には、アクセス権のない情報にアクセスを試み、又は改変する権限のない情報を改変してはならない。また、アクセス権を不正な手段で入手してはならない。
(3) 利用者は、アクセス権が不適切に設定されていることを発見した場合は、その情報の作成者、各部局等の部局責任者又は担当者に、その旨を通報しなければならない。
(4) 利用者は、インシデントと思われる事態を発見した場合には、各部局等の部局責任者又は担当者に直ちにその旨を通報しなければならない。
 
(技術的セキュリティ)
第8条 技術的セキュリティの基本単位は個々の情報機器等とし、利用者は最新の安全状況を維持するように努めなければならない。
2 最高責任者は、管理者からの申出に基づき、本学園のネットワークの利用を全学的見地から制限することができるものとし、利用に関する制限の内容の周知を図るものとする。なお、利用者は、利用に関する制限について異議があるときは、最高責任者に対して、理由を付した文書により異議を申し立てることができる。
3 管理者は、利用者に対して、情報機器等の適切な管理及び関連する技術情報等を提供するものとする。
 
(履歴の管理)
第9条 管理者は、情報セキュリティの維持及び強化のために必要と認めた場合は、本学園のネットワークにおける履歴を採取することができる。なお、利用者は、履歴の採取について異議があるときは、最高責任者に対して、理由を付した文書をもって異議を申し立てることができる。
 
(監査)
第10条 監査部は、本ポリシーに定める各項目について、監査を行うものとする。
2 監査部は、監査の結果を理事長に報告しなければならない。
3 監査の公正性及び中立性を確保するため、外部の監査組織の利用を妨げない。
 
(改廃)
第11条 本ポリシーの改廃は、理事会が行う。また、本ポリシーの実施規程等は情報システム運営委員会が別に定める。
 
 
附則
1 この規程は、平成27年4月1日から施行する。