2　部局情報システムの運用・管理は、運用基本方針、運用基本規程、本規程及び共通の実施規程・手順と、部局の運用方針に従い、部局総括責任者の下、部局システム責任者、部局システム担当者が執り行うものとする。また、管理運営担当は、部局情報システムの運用・管理を支援するものとする。本条における部局情報システムとは、部局内並びに全学情報ネットワークへの接続を実現する部局情報ネットワーク、ネットワーククライアント、及び部局で教育・研究・事務用に独自に導入するシステムを指す。

3　全学情報ネットワークと部局情報ネットワークとの調整及び対外接続に関する事項は、管理運営担当が執り行うものとする。

2　部局システム担当者は、電子計算機及び情報ネットワーク機器の構築又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開されたセキュリティホールの対策を実施することとする。

2　部局システム担当者は、不正プログラムから電子計算機を保護するため、アンチウイルスソフトウェアを導入する等の対策を実施することとする。

2　部局システム責任者は、通信回線及び情報ネットワーク機器関連文書を整備することとする。

2　部局システム責任者は、ログオンした利用者等の識別符号(ユーザID)に対して、原則として権限管理を行うこととする。

2　部局システム責任者は、サービスの提供及びサーバ装置の運用管理に利用するソフトウェアを定めることとする。

3　部局システム責任者は、利用が定められたソフトウェアに該当しないサーバアプリケーションが稼動している場合には、当該サーバアプリケーションを停止することとする。また、利用が定められたソフトウェアに該当するサーバアプリケーションであっても、利用しない機能を無効化して稼動することとする。

2　部局システム責任者は、通信回線に接続される電子計算機をグループ化し、それぞれ通信回線上で分離することとする。

3　部局システム責任者は、要保護情報を取り扱う情報システムについては、通信回線に利用する物理的な回線のセキュリティを検討し、選択することとする。

4　部局システム責任者は、遠隔地から情報ネットワーク機器に対して、保守又は診断のために利用するサービスによる接続についてセキュリティを確保することとする。

2　部局システム担当者は、管理対象となる電子計算機及び情報ネットワーク機器上で利用しているソフトウェアに関連する公開されたセキュリティホールに関連する情報を適宜入手することとする。

3　部局システム責任者及び部局システム担当者は、入手したセキュリティホールに関連する情報から、当該セキュリティホールが情報システムにもたらすリスクを分析した上で、次に掲げる事項について判断し、必要なセキュリティホール対策を講ずることとする。

4　部局システム責任者は、入手したセキュリティホールに関連する情報及び対策方法を、必要に応じ、他の部局システム責任者と共有することとする。

2　部局システム責任者は、適宜、第10条第2項により整備した通信回線及び情報ネットワーク機器関連文書の見直しを行い、当該文書を変更した場合には、当該変更の記録を保存することとする。

2　部局システム担当者は、サーバ装置に保存されている情報について、必要に応じてバックアップを取得し、取得した情報を記録した媒体は、安全に管理することとする。

3　部局システム担当者は、サーバ装置の運用管理について、作業日、作業を行ったサーバ装置、作業内容及び作業者を含む事項を記録することとする。

4　部局システム責任者は、サーバ装置上で証跡管理を行う必要性を検討し、必要と認めた場合には実施することとする。

5　部局システム担当者は、情報システムにおいて基準となる時刻に、サーバ装置の時刻を同期することとする。

2　部局システム責任者は、通信回線の構成、情報ネットワーク機器の設定、アクセス制御の設定又は識別符号(ユーザID)を含む事項の変更を適宜確認し、当該変更によって生ずる通信回線のセキュリティへの影響を特定し、対応することとする。

3　部局システム責任者は、情報システムのセキュリティの確保が困難な事由が発生した場合には、他の情報システムと共有している通信回線から独立した閉鎖的な通信回線に構成を変更することとする。

4　部局システム担当者は、部局システム責任者の許可を受けていない電子計算機及び情報ネットワーク機器を通信回線に接続させないこととする。

5　部局システム担当者は、情報システムにおいて基準となる時刻に、情報ネットワーク機器の時刻を同期することとする。

2　全学実施責任者は、通信回線の変更に際し及び定期的に、アクセス制御の設定の見直し行うこととする。

3　全学実施責任者は、定期的に、学外通信回線から通信することが可能な学内通信回線及び情報ネットワーク機器のセキュリティホールを検査することとする。

4　全学実施責任者は、学内通信回線と学外通信回線との間で送受信される通信を監視することとする。

2　部局システム責任者は、部局の責任において、共通の実施規程・手順を変更し、又は部局独自の実施規定・手順を定めることで、セキュリティ要件を見直すことができる。

2　利用者等は、学外の者が作成した情報を入手し、管理を開始するときに当該情報の機密性、完全性及び可用性に応じて重要性を判断し、取扱制限の必要性の有無を検討することとする。

2　部局システム責任者は、電子計算機に保存された情報のバックアップ又は重要な電子計算機、通信回線及び情報ネットワーク機器関連文書の複写の保管について、災害等への対策の必要性を検討し、必要があると認めたときは、同時被災等しないための適切な措置を講ずるよう努めることとする。

2　部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、識別及び主体認証を行う機能を設けることとする。

3　部局システム担当者は、主体認証を行う必要があると認めた情報システムにおいて、主体認証情報(パスワード)を秘密にする必要がある場合には、当該主体認証情報(パスワード)が明らかにならないように管理しなければならない。

4　部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、主体認証情報(パスワード)若しくは主体認証情報格納装置(ICカード)を他者に使用され、又は使用される危険性を認識した場合に、直ちに当該主体認証情報(パスワード)若しくは主体認証情報格納装置(ICカード)による主体認証を停止する機能又はこれに対応する識別符号(ユーザID)による情報システムの利用を停止する機能を設けることとする。

5　部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、知識による主体認証方式を用いる場合には、次に掲げる機能を設けることとする。

6　部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、知識、所有又は生体情報以外の主体認証方式を用いる場合には、次に掲げる要件について検証した上で、当該主体認証方式に適用することが可能な要件を全て満たすこととする。また、用いる方式に応じて、次に掲げる要件を含む要件を定めることとする。

7　部局システム責任者は、生体情報による主体認証方式を用いる場合には、当該生体情報を本人から事前に同意を得た目的以外の目的で使用してはならない。また、当該生体情報について、本人のプライバシーを侵害しないように留意しなければならない。

8　部局総括責任者は、セキュリティ侵害又はその可能性が認められる場合、主体認証情報(パスワード)の変更を求め、又はアカウントを失効させることができる。

2　部局システム責任者は、アクセス制御を行う必要があると認めた情報システムにおいて、アクセス制御を行う機能を設けることとする。

2　利用者等は、情報システムに装備された機能を用いて、当該情報システムに保存される情報の取扱制限の指示内容にしたがって、必要なアクセス制御の設定をすることとする。

2　部局総括責任者は、前項の報告を受けたときは、遅滞なく全学総括責任者にその旨を報告しなければならない。

3　全学総括責任者及び部局総括責任者は、第1項又は第2項の報告を受けた場合は、新たな防止対策その他の必要な措置を講じることとする。

2　部局システム責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理を行う機能を設けることとする。

2　部局システム責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理を行う者を定めることとする。

2　アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウントを発行する際に、それが共用アカウントか、共用ではないアカウントかの区別を利用者等に通知することとする。ただし、共用アカウントは、部局システム責任者が、その利用を認めた情報システムでのみ付与することができる。

2　アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、情報システムを利用する許可を得た主体に対してのみ、アカウントを発行することとする。

3　アカウント管理を行う者は、アカウントを発行するにあたっては、期限付の仮パスワードを発行する等の措置を講じるよう努めるものとする。

4　アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、管理者権限を持つアカウントを、業務又は業務上の責務に即した場合に限定して付与することとする。

5　アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、業務上の責務と必要性を勘案し、必要最小限の範囲に限ってアクセス制御に係る設定をすることとする。

2　全学総括責任者及び部局総括責任者は、必要により部局システム責任者にアカウント発行の報告を求めることができる。

2　アカウント管理を行う者は、人事異動等、アカウントを追加又は削除するときに、不適切なアクセス制御設定の有無を点検することとする。

2　アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、利用者等が情報システムを利用する必要がなくなった場合には、当該利用者等のアカウントを削除し、その旨を部局システム責任者に報告することとする。

3　全学総括責任者及び部局総括責任者は、必要により部局システム責任者にアカウント削除の報告を求めることができる。

2　部局システム責任者は、前項の措置の報告を受けたときは、速やかにその旨を利用者等に通知することとする。ただし、電話、郵便等の伝達手段によっても通知ができない場合はこの限りでない。

3　部局総括責任者は、必要により部局システム責任者にアカウント停止の報告を求めることができる。

2　部局システム責任者は、前項の申入れを受けたときは、アカウント管理を行う者に当該アカウントの安全性の確認及びアカウントの復帰を指示することとする。

3　アカウント管理を行う者は、前項の指示に従い当該アカウントの安全性を確認した後、速やかにアカウントを復帰させることとする。

2　部局システム責任者は、証跡を取得する必要があると認めた情報システムには、証跡管理のために証跡を取得する機能を設けることとする。

2　部局システム担当者は、証跡を取得する必要があると認めた情報システムにおいては、取得した証跡の保存期間を定め、当該保存期間が満了する日まで証跡を保存し、保存期間を延長する必要性がない場合は、速やかにこれを消去することとする。

3　部局システム担当者は、証跡を取得する必要があると認めた情報システムにおいては、証跡が取得できない場合又は取得できなくなるおそれがある場合は、必要な対処を行うこととする。

2　全学総括責任者又は部局総括責任者は、前項ただし書に基づいて監視を行わせるときは、監視の範囲をあらかじめ具体的に定めておかなければならない。ただし、不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処するために特に必要と認められる場合、全学総括責任者又は部局総括責任者は、セキュリティ侵害の緊急性、内容及び程度に応じて、対処のために不可欠と認められる情報について、監視を行うよう命ずることができる。

3　監視を行う者は、監視によって知った通信の内容又は個人情報を、他の者に伝達してはならない。ただし、前項ただし書に定める情報については、全学総括責任者、部局総括責任者、全学情報システム運用委員会及び各部局に伝達することができる。

4　監視を行わせる者は、監視を行う者に対して、監視記録を保存する期間をあらかじめ指示するものとする。監視を行う者は、指示された期間を経過した監視記録を直ちに破棄しなければならない。ただし、監視記録から個人情報に係る部分を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存するよう努めるものとする。

5　監視を行う者及び監視記録の伝達を受けた者は、ネットワーク運用・管理のために必要な限りで、これを閲覧し、かつ、保存することができる。監視記録を不必要に閲覧してはならない。不必要となった監視記録は、直ちに破棄しなければならない。監視記録の内容を、法令に基づく場合等を除き、他の者に伝達してはならない。

2　前項に規定する目的は、法令の遵守、情報セキュリティの確保、課金その他当該情報機器の利用に必要なものに限られ、個人情報の取得を目的とすることはできない。

3　当該情報機器の管理者は、第1項の目的のために必要な限りで、利用記録を閲覧することができ、他人の個人情報及び通信内容を不必要に閲覧してはならない。

4　当該情報機器の管理者は、第2項に規定する目的のために必要な限りで、利用記録を他の者に伝達することができる。

5　当該情報機器の管理者又は利用記録の伝達を受けた者は、第1項の目的のために必要な限りで、これを保有することができる。不要となった利用記録は、直ちに破棄しなければならない。ただし、当該情報機器の管理者は、利用記録から個人情報に係る部分を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存するよう努めるものとする。

2　前項の個人情報は、当人の請求により開示、訂正又は削除をしなければならない。

2　部局システム責任者は、暗号化を行う必要があると認めた情報システムには、暗号化を行う機能を設けることとする。

3　部局システム責任者は、要保護情報を取り扱う情報システムについて、電子署名の付与を行う機能を付加する必要性の有無を検討することとする。

4　部局システム責任者は、電子署名の付与を行う必要があると認めた情報システムには、電子署名の付与を行う機能を設けることとする。

2　部局システム責任者は、暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて、暗号化された情報の復号又は電子署名の付与に用いる鍵について、鍵の保存媒体及び保存場所を定めることとする。

3　部局システム責任者は、電子署名の付与を行う必要があると認めた情報システムにおいて、電子署名の正当性を検証するための情報又は手段を署名検証者へ提供することとする。

2　部局総括責任者は、調査によって違反行為が判明したときには、次に掲げる措置を講ずることができる。

3　部局総括責任者は、前項第二号及び第三号については、他部局の部局総括責任者を通じて他部局に同等の措置を依頼することができる。

4　部局総括責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合及び第2項に基づき措置を講じた場合は、遅滞無く全学総括責任者にその旨を報告することとする。

2　全学実施責任者は、インシデントについて利用者等から部局総括責任者への報告手順を整備し、当該報告手段を全ての利用者等に周知することとする。

3　全学実施責任者は、インシデントが発生した際の対応手順を整備することとする。

4　全学実施責任者は、インシデントに備え、本学の研究教育事務の遂行のため特に重要と認めた情報システムについて、その部局システム責任者及び部局システム担当者の緊急連絡先、連絡手段及び連絡内容を含む緊急連絡網を整備することとする。

5　全学実施責任者は、インシデントについて学外から報告を受けるための窓口を設置し、その窓口への連絡手段を学外に公表することとする。

2　全学総括責任者は、部局総括責任者からインシデントについての報告を受けた場合には、その内容を検討し、再発防止策を実施するために必要な措置を講ずることとする。

2　全学実施責任者は、情報セキュリティ関係規程について、教育啓発対象者に教育すべき内容を検討し、教育のための資料を整備することとする。

3　全学実施責任者は、教育啓発対象者が定期的に受講できるように、情報セキュリティ対策の教育に係る計画を企画、立案するとともに、その実施体制を整備することとする。

4　全学実施責任者は、教育啓発対象者の入学時又は着任時に速やかに受講できるように、情報セキュリティ対策の教育を企画、立案し、その体制を整備することとする。

5　全学実施責任者は、教育啓発対象者の情報セキュリティ対策の教育の受講状況を管理できる仕組みを整備することとする。

6　全学実施責任者は、教育啓発対象者の情報セキュリティ対策の教育の受講状況について、当該教育啓発対象者の所属する部局の部局総括責任者に通知することとする。

7　部局総括責任者は、教育啓発対象者の情報セキュリティ対策の教育の受講が達成されていない場合には、未受講の者に対して、その受講を勧告すること。教育啓発対象者が当該勧告に従わない場合には、全学実施責任者にその旨を報告することとする。

8　全学情報システム運用委員会は、利用者等からの情報セキュリティ対策に関する相談に対応する窓口を設置することとする。

9　その他、教育・研修に関する事項については、講習計画に定めることとする。

この規程は、平成27年1月1日から施行する。