○岡山県立大学情報システム運用・管理規程
平成26年11月10日
第1章 総則
(目的)
第1条 この規程は、岡山県立大学(以下「本学」という。)における情報システムの運用及び管理に関する事項を定めることにより、本学の有する情報資産を適正に保護、活用し、並びに情報システムの信頼性、安全性及び効率性の向上に役立てることを目的とする。
(1) 運用基本方針 岡山県立大学情報システム運用基本方針をいう。
(2) 運用基本規程 岡山県立大学情報システム運用基本規程をいう。
(3) 情報資産 情報システム、情報ネットワークに接続された情報ネットワーク機器及び電子計算機並びにそこで取り扱われる情報をいう。ただし、別に定める場合を除き、情報は電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られた記録をいう。)に限るものとする。
(4) 情報ネットワーク機器 情報ネットワークの接続のために設置され、電子計算機により情報ネットワーク上を送受信される情報の制御を行うための装置(ファイアウォール、ルータ、ハブ、情報コンセント又は無線ネットワークアクセスポイントを含む。)をいう。
(5) 電子計算機 コンピュータ全般のことを指し、オペレーティングシステム及び接続される周辺機器を含むサーバ装置及び端末をいう。
(6) 安全区域 電子計算機及び情報ネットワーク機器を設置した事務室、研究室、教室、サーバルーム等の内部であって、利用者等以外の者の侵入や自然災害の発生等を原因とする情報セキュリティの侵害に対して、施設及び環境面から対策が講じられている区域をいう。
(7) 利用者等 運用基本規程において定める利用者のほか、本学情報資産及び情報システムを取扱う者をいう。
(8) 機密性 情報に関して、アクセスを認められた者だけがこれにアクセスできる状態を確保することをいう。機密性についての区分は、次に掲げるとおりとする。
区分 | 分類の基準 |
機密性3情報 | 本学で取り扱う情報のうち、秘密文書に相当する機密性を要する情報 |
機密性2情報 | 本学で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、利用者等の権利が侵害され又は本学の教育研究事務の遂行に支障を及ぼすおそれがある情報 |
機密性1情報 | 機密性2情報又は機密性3情報以外の情報 |
(9) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。完全性についての区分は、次に掲げるとおりとする。
区分 | 分類の基準 |
完全性2情報 | 本学で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、利用者等の権利が侵害され又は本学の教育研究事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 |
完全性1情報 | 完全性2情報以外の情報(書面を除く。) |
(10) 可用性 情報及び関連資産へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保することをいう。可用性についての区分は、次に掲げるとおりとする。
区分 | 分類の基準 |
可用性2情報 | 本学で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、利用者等の権利が侵害され又は本学の教育研究事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 |
可用性1情報 | 可用性2情報以外の情報(書面を除く。) |
(11) 主体認証 識別符号(ユーザID)を提示した利用者等又は電子計算機が、情報システムにアクセスする正当な権限を有するか否かを検証することをいう。識別符号(ユーザID)とともに正しい方法で主体認証情報(パスワード)が提示された場合に主体認証ができたものとして、情報システムはそれらを提示した利用者等又は電子計算機を正当な権限を有するものとして認識する。なお、「認証」という用語は、公的又は第三者が証明するという意味を持つが、この規程における「主体認証」については、公的又は第三者による証明に限るものではない。
(12) 識別符号(ユーザID) 主体認証を行うために、利用者等又は電子計算機が提示する符号のうち、情報システムが利用者等又は電子計算機を特定して認識する符号をいう。代表的な識別符号として、ユーザID が挙げられる。
(13) 主体認証情報(パスワード) 主体認証を行うために、利用者等又は電子計算機が提示する情報のうち、情報システムが利用者等又は電子計算機を正当な権限を有するものとして認識する情報をいう。代表的な主体認証情報として、パスワードが挙げられる。
(14) アカウント 主体認証を行う必要があると認めた情報システムにおいて、利用者等又は電子計算機に付与された正当な権限をいう。また、狭義には、利用者等又は電子計算機に付与された識別符号(ユーザID)及び主体認証情報(パスワード)の組合せ、又はそれらのいずれかを指して「アカウント」という。
(15) その他の用語の定義は、運用基本方針及び運用基本規程の定めるところによる。
(適用範囲)
第3条 この規程は、情報資産及び情報システムを運用・管理する者に適用する。
(組織体制)
第4条 全学情報システムの運用・管理は、運用基本方針及び運用基本規程に従い、全学総括責任者の下、全学実施責任者、部局総括責任者等からなる全学情報システム運用委員会が執り行うものとする。また、全学総括責任者は、全学情報システムの実施規程及び手順並びに部局情報システム共通の実施規程及び手順(以下「共通の実施規程・手順」という。)を定めることとする。本条における全学情報システムとは、学外接続及び部局間接続を実現する全学情報ネットワークと、大学メールシステムや学内共通認証システム等の共有インフラシステムを指す。
2 部局情報システムの運用・管理は、運用基本方針、運用基本規程、本規程及び共通の実施規程・手順と、部局の運用方針に従い、部局総括責任者の下、部局システム責任者、部局システム担当者が執り行うものとする。また、管理運営担当は、部局情報システムの運用・管理を支援するものとする。本条における部局情報システムとは、部局内並びに全学情報ネットワークへの接続を実現する部局情報ネットワーク、ネットワーククライアント、及び部局で教育・研究・事務用に独自に導入するシステムを指す。
3 全学情報ネットワークと部局情報ネットワークとの調整及び対外接続に関する事項は、管理運営担当が執り行うものとする。
(禁止事項)
第5条 情報資産及び情報システムを運用・管理する者は、次に掲げる事項を行ってはならない。
(1) 情報資産の目的外利用
(2) 守秘義務に違反する情報の開示
(3) 部局総括責任者の許可なく情報ネットワーク上の通信を監視し、又は情報ネットワーク機器及び電子計算機の利用記録を採取する行為
(4) その他法令に基づく処罰の対象となり、又は損害賠償等の民事責任を発生させる情報の発信
(5) 管理者権限を濫用する行為
(6) 上記の行為を助長する行為
第2章 情報システムのライフサイクル
第1節 設置時
(セキュリティホール対策)
第6条 部局システム担当者は、電子計算機及び情報ネットワーク機器について、セキュリティホール対策に必要となる機器情報を収集することとする。
2 部局システム担当者は、電子計算機及び情報ネットワーク機器の構築又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開されたセキュリティホールの対策を実施することとする。
(不正プログラム対策)
第7条 全学総括責任者は、不正プログラム感染の回避を目的とした利用者等に対する留意事項を含む日常的実施事項を定めることとする。
2 部局システム担当者は、不正プログラムから電子計算機を保護するため、アンチウイルスソフトウェアを導入する等の対策を実施することとする。
(サービス不能攻撃対策)
第8条 部局システム責任者は、インターネットからアクセスを受ける電子計算機、情報ネットワーク機器又は通信回線を有する情報システムについては、サービス提供に必要な電子計算機及び情報ネットワーク機器が装備している機能をサービス不能攻撃対策に活用することとする。
(安全区域)
第9条 部局システム責任者は、情報システムによるリスク(物理的損壊、情報の漏えい又は改ざん等のリスクを含む。)を検討し、安全区域に施設及び環境面からの対策を実施することとする。
(文書の整備)
第10条 部局システム責任者は、電子計算機関連文書を整備することとする。
2 部局システム責任者は、通信回線及び情報ネットワーク機器関連文書を整備することとする。
(主体認証と権限管理)
第11条 部局システム責任者は、利用者等が電子計算機にログインする場合には、原則として主体認証を行うように電子計算機を構成することとする。
2 部局システム責任者は、ログオンした利用者等の識別符号(ユーザID)に対して、原則として権限管理を行うこととする。
(電子計算機の対策)
第12条 部局システム責任者は、電子計算機で利用可能なソフトウェアを定めることとする。ただし、利用可能なソフトウェアを列挙することが困難な場合には、利用不可能なソフトウェアを列挙し、又は両者を併用することができる。
(サーバ装置の対策)
第13条 部局システム責任者は、通信回線を経由してサーバ装置の保守作業を行う場合は、暗号化を行う必要性の有無を検討し、必要があると認めたときは、送受信される情報を暗号化することとする。
2 部局システム責任者は、サービスの提供及びサーバ装置の運用管理に利用するソフトウェアを定めることとする。
3 部局システム責任者は、利用が定められたソフトウェアに該当しないサーバアプリケーションが稼動している場合には、当該サーバアプリケーションを停止することとする。また、利用が定められたソフトウェアに該当するサーバアプリケーションであっても、利用しない機能を無効化して稼動することとする。
(通信回線の対策)
第14条 部局システム責任者は、通信回線構築によるリスク(物理的損壊又は情報の漏えい若しくは改ざん等のリスクを含む。)を検討し、通信回線を構築することとする。
2 部局システム責任者は、通信回線に接続される電子計算機をグループ化し、それぞれ通信回線上で分離することとする。
3 部局システム責任者は、要保護情報を取り扱う情報システムについては、通信回線に利用する物理的な回線のセキュリティを検討し、選択することとする。
4 部局システム責任者は、遠隔地から情報ネットワーク機器に対して、保守又は診断のために利用するサービスによる接続についてセキュリティを確保することとする。
(情報コンセント)
第15条 部局システム責任者は、情報コンセントを設置する場合には、次に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずることとする。
(1) 利用開始及び利用停止時の申請手続の整備
(2) 通信を行う電子計算機の識別又は利用者等の主体認証
(3) 主体認証記録の取得及び管理
(4) 情報コンセント経由でアクセスすることが可能な通信回線の範囲の制限
(5) 情報コンセント接続中に他の通信回線との接続の禁止
(6) 情報コンセント接続方法の機密性の確保
(7) 情報コンセントに接続する電子計算機の管理
(VPN、無線LAN、リモートアクセス)
第16条 部局システム責任者は、VPN 環境、無線LAN環境及び公衆電話網を経由したリモートアクセス環境(本条において「構築環境」という。)を構築する場合には、次に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずることとする。
(1) 利用開始及び利用停止時の申請手続の整備
(2) 通信内容の暗号化
(3) 通信を行う電子計算機の識別又は利用者等の主体認証
(4) 主体認証記録の取得及び管理
(5) 構築環境経由でアクセスすることが可能な通信回線の範囲の制限
(6) 無線LAN又はリモートアクセス環境に接続中に他の通信回線との接続の禁止
(7) 構築環境への接続方法の機密性の確保
(8) 構築環境に接続する電子計算機の管理
(上流ネットワークとの関係)
第17条 全学実施責任者は、本学情報ネットワークを構築し運用するにあたっては、本学情報ネットワークと接続される上流ネットワークとの整合性に留意しなければならない。
第2節 運用時
(セキュリティホール対策)
第18条 部局システム担当者は、管理対象となる電子計算機及び情報ネットワーク機器の構成に変更があった場合には、セキュリティホール対策に必要となる機器情報を収集することとする。
2 部局システム担当者は、管理対象となる電子計算機及び情報ネットワーク機器上で利用しているソフトウェアに関連する公開されたセキュリティホールに関連する情報を適宜入手することとする。
3 部局システム責任者及び部局システム担当者は、入手したセキュリティホールに関連する情報から、当該セキュリティホールが情報システムにもたらすリスクを分析した上で、次に掲げる事項について判断し、必要なセキュリティホール対策を講ずることとする。
(1) 対策の必要性
(2) 対策方法
(3) 対策方法が存在しない場合の一時的な回避方法
(4) 対策方法又は回避方法が情報システムに与える影響
(5) 対策の実施予定
(6) 対策テストの必要性
(7) 対策テストの方法
(8) 対策テストの実施予定
4 部局システム責任者は、入手したセキュリティホールに関連する情報及び対策方法を、必要に応じ、他の部局システム責任者と共有することとする。
(不正プログラム対策)
第19条 部局システム担当者は、不正プログラムに関する情報の収集に努め、当該情報について対処の要否を決定し、特段の対処が必要な場合には、利用者等にその対処の実施に関する指示を行うこととする。
(脆弱性診断)
第20条 部局システム責任者及び部局システム担当者は、情報システムに関する脆弱性の診断を適宜実施しセキュリティの維持に努めることとする。
(文書の見直し、変更)
第21条 部局システム責任者は、適宜、第10条第1項により整備した電子計算機関連文書の見直しを行い、当該文書を変更した場合には、当該変更の記録を保存することとする。
2 部局システム責任者は、適宜、第10条第2項により整備した通信回線及び情報ネットワーク機器関連文書の見直しを行い、当該文書を変更した場合には、当該変更の記録を保存することとする。
(接続の管理)
第22条 全学実施責任者は、情報ネットワークに関する接続の申請を受けた場合は、別に定める情報ネットワーク接続手順に従い、申請者に対して接続の諾否を通知し必要な指示を行わなければならない。
(ネットワーク情報の管理)
第23条 部局システム責任者は、部局情報ネットワークで使用するドメイン名やIPアドレス等のネットワーク情報について、全学情報システム運用委員会から割当てを受け、利用者等からの利用形態に応じて適切に分配し管理することとする。
(サーバ装置の対策)
第24条 部局システム責任者は、サーバ装置の構成の変更を適宜確認し、当該変更によって生ずるサーバ装置のセキュリティへの影響を特定し、対応することとする。
2 部局システム担当者は、サーバ装置に保存されている情報について、必要に応じてバックアップを取得し、取得した情報を記録した媒体は、安全に管理することとする。
3 部局システム担当者は、サーバ装置の運用管理について、作業日、作業を行ったサーバ装置、作業内容及び作業者を含む事項を記録することとする。
4 部局システム責任者は、サーバ装置上で証跡管理を行う必要性を検討し、必要と認めた場合には実施することとする。
5 部局システム担当者は、情報システムにおいて基準となる時刻に、サーバ装置の時刻を同期することとする。
(通信回線の対策)
第25条 部局システム担当者は、通信回線を利用する電子計算機の識別符号(ホストID)、電子計算機の利用者等と当該利用者等の識別符号(ユーザID)の対応関係及び通信回線の利用部局を含む事項の管理を行うこと。
2 部局システム責任者は、通信回線の構成、情報ネットワーク機器の設定、アクセス制御の設定又は識別符号(ユーザID)を含む事項の変更を適宜確認し、当該変更によって生ずる通信回線のセキュリティへの影響を特定し、対応することとする。
3 部局システム責任者は、情報システムのセキュリティの確保が困難な事由が発生した場合には、他の情報システムと共有している通信回線から独立した閉鎖的な通信回線に構成を変更することとする。
4 部局システム担当者は、部局システム責任者の許可を受けていない電子計算機及び情報ネットワーク機器を通信回線に接続させないこととする。
5 部局システム担当者は、情報システムにおいて基準となる時刻に、情報ネットワーク機器の時刻を同期することとする。
(学外通信回線との接続)
第26条 全学実施責任者は、学内通信回線と学外通信回線の接続において情報システムのセキュリティの確保が困難な事由が発生した場合には、他の情報システムと共有している学内通信回線又は学外通信回線から独立した通信回線に構成を変更することとする。
2 全学実施責任者は、通信回線の変更に際し及び定期的に、アクセス制御の設定の見直し行うこととする。
3 全学実施責任者は、定期的に、学外通信回線から通信することが可能な学内通信回線及び情報ネットワーク機器のセキュリティホールを検査することとする。
4 全学実施責任者は、学内通信回線と学外通信回線との間で送受信される通信を監視することとする。
第3節 運用終了時
(電子計算機の対策)
第27条 部局システム責任者は、電子計算機の運用を終了する場合に、データ消去ソフトウェア若しくはデータ消去装置を利用し、又は物理的な破壊、磁気的な破壊等の方法を用いて、全ての情報を復元が困難な状態にすることとする。
(情報ネットワーク機器の対策)
第28条 部局システム責任者は、情報ネットワーク機器の利用を終了する場合には、情報ネットワーク機器の内蔵記録媒体の全ての情報を復元が困難な状態にすることとする。
第4節 PDCA サイクル
(情報システムの計画・設計)
第29条 部局システム責任者は、機器等の購入(購入に準ずるリースを含む。)及びソフトウェア開発において必要な対策、情報セキュリティについての機能の設定、情報セキュリティについての脅威への対策並びに情報システムの構成要素において、運用基本方針、運用基本規定、本規程及び共通の実施規程・手順が定める要件を、部局内情報システムのセキュリティ要件(本条及び第30条において「セキュリティ要件」という。)として実施することとする。
2 部局システム責任者は、部局の責任において、共通の実施規程・手順を変更し、又は部局独自の実施規定・手順を定めることで、セキュリティ要件を見直すことができる。
(情報システムの構築・運用・監視)
第30条 部局システム責任者は、情報システムの構築、運用及び監視に際しては、セキュリティ要件に基づき定めた情報セキュリティ対策を行うこととする。
(情報システムの移行・廃棄)
第31条 部局システム責任者は、情報システムの移行及び廃棄を行う場合は、情報の消去及び保存並びに情報システムの廃棄及び再利用について必要性を検討し、それぞれについて適切な措置を採ることとする。
(情報システムの見直し)
第32条 部局システム責任者は、情報システムの情報セキュリティ対策について見直しを行う必要性の有無を適宜検討し、必要があると認めた場合にはその見直しを行うこととする。
第3章 情報の格付けと取扱い
(情報の作成又は入手)
第33条 利用者等は、情報システムに係る情報を作成し、又は入手する場合は、本学の研究教育事務の遂行の目的に十分留意することとする。
(情報の作成又は入手時における格付けと取扱制限の検討)
第34条 利用者等は、情報の作成時に当該情報の機密性、完全性及び可用性に応じて重要性を判断し、取扱制限の必要性の有無を検討することとする。
2 利用者等は、学外の者が作成した情報を入手し、管理を開始するときに当該情報の機密性、完全性及び可用性に応じて重要性を判断し、取扱制限の必要性の有無を検討することとする。
(取扱制限の明示)
第35条 利用者等は、必要に応じて取扱制限について明示することとする。
(取扱制限の継承)
第36条 利用者等は、情報を作成する際に、既にある情報を引用する場合には、当該情報の取扱制限を継承することとする。
(取扱制限の変更)
第37条 利用者等は、情報の取扱制限を変更する必要性があると考える場合には、当該情報の作成者又は入手者に相談することとする。相談された者は、取扱制限の見直しを行う必要があると認めた場合には、当該情報に対して新たな取扱制限を決定することとする。
(情報の保存)
第38条 部局システム責任者は、電子計算機に保存された要保護情報について、適切なアクセス制御を行わなければならない。
2 部局システム責任者は、電子計算機に保存された情報のバックアップ又は重要な電子計算機、通信回線及び情報ネットワーク機器関連文書の複写の保管について、災害等への対策の必要性を検討し、必要があると認めたときは、同時被災等しないための適切な措置を講ずるよう努めることとする。
第4章 主体認証
(主体認証機能の導入)
第39条 部局システム責任者は、全ての情報システムについて、主体認証を行う必要性の有無を検討することとする。ただし、要保護情報を取り扱う情報システムについては、主体認証を行うこととする。
2 部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、識別及び主体認証を行う機能を設けることとする。
3 部局システム担当者は、主体認証を行う必要があると認めた情報システムにおいて、主体認証情報(パスワード)を秘密にする必要がある場合には、当該主体認証情報(パスワード)が明らかにならないように管理しなければならない。
4 部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、主体認証情報(パスワード)若しくは主体認証情報格納装置(ICカード)を他者に使用され、又は使用される危険性を認識した場合に、直ちに当該主体認証情報(パスワード)若しくは主体認証情報格納装置(ICカード)による主体認証を停止する機能又はこれに対応する識別符号(ユーザID)による情報システムの利用を停止する機能を設けることとする。
5 部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、知識による主体認証方式を用いる場合には、次に掲げる機能を設けることとする。
(1) 利用者等が、自らの主体認証情報(パスワード)を設定する機能
(2) 利用者等が設定した主体認証情報(パスワード)を他者が容易に知ることができないように保持する機能
6 部局システム責任者は、主体認証を行う必要があると認めた情報システムにおいて、知識、所有又は生体情報以外の主体認証方式を用いる場合には、次に掲げる要件について検証した上で、当該主体認証方式に適用することが可能な要件を全て満たすこととする。また、用いる方式に応じて、次に掲げる要件を含む要件を定めることとする。
(1) 正当な主体以外の主体を誤って主体認証しないこと。(誤認の防止)
(2) 正当な主体が本人の責任ではない理由で主体認証できなくならないこと。(誤否の防止)
(3) 正当な主体が容易に他者に主体認証情報(パスワード)を付与及び貸与ができないこと。(代理の防止)
(4) 主体認証情報(パスワード)が容易に複製できないこと。(複製の防止)
(5) 部局システム担当者の判断により、ログオンを個々に無効化できる手段があること。(無効化の確保)
(6) 主体認証について業務遂行に十分な可用性があること。(可用性の確保)
(7) 新たな主体を追加するために、外部からの情報や装置の供給を必要とする場合には、それらの供給が情報システムの耐用期間の間、十分受けられること。(継続性の確保)
(8) 主体に付与した主体認証情報(パスワード)を使用することが不可能になった際に、正当な主体に対して主体認証情報(パスワード)を安全に再発行できること。(再発行の確保)
7 部局システム責任者は、生体情報による主体認証方式を用いる場合には、当該生体情報を本人から事前に同意を得た目的以外の目的で使用してはならない。また、当該生体情報について、本人のプライバシーを侵害しないように留意しなければならない。
8 部局総括責任者は、セキュリティ侵害又はその可能性が認められる場合、主体認証情報(パスワード)の変更を求め、又はアカウントを失効させることができる。
第5章 アクセス制御
(アクセス制御機能の導入)
第40条 部局システム責任者は、全ての情報システムについて、アクセス制御を行う必要性の有無を検討することとする。なお、要保護情報を取り扱う情報システムについては、アクセス制御を行う必要があると判断することとする。
2 部局システム責任者は、アクセス制御を行う必要があると認めた情報システムにおいて、アクセス制御を行う機能を設けることとする。
(利用者等による適正なアクセス制御)
第41条 部局システム責任者は、それぞれの情報システムに応じたアクセス制御の措置を講じるよう、利用者等に指示することとする。
2 利用者等は、情報システムに装備された機能を用いて、当該情報システムに保存される情報の取扱制限の指示内容にしたがって、必要なアクセス制御の設定をすることとする。
(無権限のアクセス対策)
第42条 部局システム責任者及び部局システム担当者は、無権限のアクセス行為を発見した場合は、速やかに部局総括責任者に報告しなければならない。
2 部局総括責任者は、前項の報告を受けたときは、遅滞なく全学総括責任者にその旨を報告しなければならない。
第6章 アカウント管理
(アカウント管理機能の導入)
第43条 部局システム責任者は、全ての情報システムについて、アカウント管理を行う必要性の有無を検討することとする。なお、要保護情報を取り扱う情報システムについては、アカウント管理を行う必要があると判断することとする。
2 部局システム責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理を行う機能を設けることとする。
(アカウント管理手続の整備)
第44条 部局システム責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理について、次に掲げる事項を含む手続を明確にすることとする。
(1) 主体からの申請に基づいてアカウント管理を行う場合には、その申請者が正当な主体であることを確認するための手続
(2) 主体認証情報(パスワード)の初期配布方法及び変更管理手続
(3) アクセス制御情報の設定方法及び変更管理手続
2 部局システム責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理を行う者を定めることとする。
(共用アカウント)
第45条 部局システム責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、共用アカウントの利用許可については、情報システムごとにその必要性を判断することとする。
2 アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウントを発行する際に、それが共用アカウントか、共用ではないアカウントかの区別を利用者等に通知することとする。ただし、共用アカウントは、部局システム責任者が、その利用を認めた情報システムでのみ付与することができる。
(アカウントの発行)
第46条 アカウント管理を行う者は、利用者等からのアカウント発行申請を受理したときは、申請者が第62条第2項第3号による処分期間中である場合を除き、遅滞無くアカウントを発行することとする。
2 アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、情報システムを利用する許可を得た主体に対してのみ、アカウントを発行することとする。
3 アカウント管理を行う者は、アカウントを発行するにあたっては、期限付の仮パスワードを発行する等の措置を講じるよう努めるものとする。
4 アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、管理者権限を持つアカウントを、業務又は業務上の責務に即した場合に限定して付与することとする。
5 アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、業務上の責務と必要性を勘案し、必要最小限の範囲に限ってアクセス制御に係る設定をすることとする。
(アカウント発行の報告)
第47条 アカウント管理を行う者は、アカウントを発行したときは、速やかにその旨を部局システム責任者に報告することとする。
2 全学総括責任者及び部局総括責任者は、必要により部局システム責任者にアカウント発行の報告を求めることができる。
(アカウントの有効性検証)
第48条 アカウント管理を行う者は、発行済みのアカウントについて、次に掲げる項目を適宜確認することとする。
(1) 利用資格を失ったもの
(2) 部局総括責任者が指定する削除保留期限を過ぎたもの
(3) パスワードを設定する手順に違反したパスワードが設定されているもの
2 アカウント管理を行う者は、人事異動等、アカウントを追加又は削除するときに、不適切なアクセス制御設定の有無を点検することとする。
(アカウントの削除)
第49条 アカウント管理を行う者は、第48条第1項第1号及び第2号に該当するアカウントを発見したとき又は第62条第2項第3号による削除命令を受けたときは、速やかにそのアカウントを削除し、その旨を部局システム責任者に報告しなければならない。
2 アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、利用者等が情報システムを利用する必要がなくなった場合には、当該利用者等のアカウントを削除し、その旨を部局システム責任者に報告することとする。
3 全学総括責任者及び部局総括責任者は、必要により部局システム責任者にアカウント削除の報告を求めることができる。
(アカウントの停止)
第50条 アカウント管理を行う者は、第48条第1項第3号に該当するアカウントを発見したとき、第62条第2項第3号よる停止命令を受けたとき又は主体認証情報(パスワード)が他者に使用され、若しくはその危険が発生したことの報告を受けたときは、速やかにそのアカウントを停止し、その旨を部局システム責任者に報告することとする。
2 部局システム責任者は、前項の措置の報告を受けたときは、速やかにその旨を利用者等に通知することとする。ただし、電話、郵便等の伝達手段によっても通知ができない場合はこの限りでない。
3 部局総括責任者は、必要により部局システム責任者にアカウント停止の報告を求めることができる。
(アカウントの復帰)
第51条 アカウントの停止を受けた利用者等は、アカウント停止からの復帰を希望するときは、その旨を部局システム責任者に申し出なければならない。
2 部局システム責任者は、前項の申入れを受けたときは、アカウント管理を行う者に当該アカウントの安全性の確認及びアカウントの復帰を指示することとする。
3 アカウント管理を行う者は、前項の指示に従い当該アカウントの安全性を確認した後、速やかにアカウントを復帰させることとする。
(管理者権限を持つアカウントの利用)
第52条 管理者権限を持つアカウントを付与された者は、管理者としての業務遂行時に限定して、当該アカウントを利用することとする。
第7章 証跡管理
(証跡管理機能の導入)
第53条 部局システム責任者は、全ての情報システムについて、証跡管理を行う必要性の有無を検討することとする。
2 部局システム責任者は、証跡を取得する必要があると認めた情報システムには、証跡管理のために証跡を取得する機能を設けることとする。
(部局システム担当者による証跡の取得と保存)
第54条 部局システム担当者は、証跡を取得する必要があると認めた情報システムにおいては、部局システム責任者が情報システムに設けた機能を利用して、証跡を記録することとする。
2 部局システム担当者は、証跡を取得する必要があると認めた情報システムにおいては、取得した証跡の保存期間を定め、当該保存期間が満了する日まで証跡を保存し、保存期間を延長する必要性がない場合は、速やかにこれを消去することとする。
3 部局システム担当者は、証跡を取得する必要があると認めた情報システムにおいては、証跡が取得できない場合又は取得できなくなるおそれがある場合は、必要な対処を行うこととする。
(証跡管理に関する利用者等への周知)
第55条 部局総括責任者又は部局システム責任者は、証跡を取得する必要があると認めた情報システムにおいては、部局システム担当者及び利用者等に対して、証跡の取得、保存、点検及び分析を行う可能性があることをあらかじめ説明することとする。
(通信の監視)
第56条 利用者等は、ネットワークを通じて行われる通信の傍受は行ってはならない。ただし、全学総括責任者又は当該ネットワークを管理する部局総括責任者は、セキュリティ確保のため、あらかじめ指定した者に、ネットワークを通じて行われる通信の監視(以下「監視」という。)を行わせることができる。
2 全学総括責任者又は部局総括責任者は、前項ただし書に基づいて監視を行わせるときは、監視の範囲をあらかじめ具体的に定めておかなければならない。ただし、不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処するために特に必要と認められる場合、全学総括責任者又は部局総括責任者は、セキュリティ侵害の緊急性、内容及び程度に応じて、対処のために不可欠と認められる情報について、監視を行うよう命ずることができる。
3 監視を行う者は、監視によって知った通信の内容又は個人情報を、他の者に伝達してはならない。ただし、前項ただし書に定める情報については、全学総括責任者、部局総括責任者、全学情報システム運用委員会及び各部局に伝達することができる。
4 監視を行わせる者は、監視を行う者に対して、監視記録を保存する期間をあらかじめ指示するものとする。監視を行う者は、指示された期間を経過した監視記録を直ちに破棄しなければならない。ただし、監視記録から個人情報に係る部分を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存するよう努めるものとする。
5 監視を行う者及び監視記録の伝達を受けた者は、ネットワーク運用・管理のために必要な限りで、これを閲覧し、かつ、保存することができる。監視記録を不必要に閲覧してはならない。不必要となった監視記録は、直ちに破棄しなければならない。監視記録の内容を、法令に基づく場合等を除き、他の者に伝達してはならない。
(利用記録)
第57条 複数の者が利用する情報機器(本条で「当該情報機器」という。)の管理者は、当該情報機器に係る利用記録(以下「利用記録」という。)をあらかじめ定めた目的の範囲でのみ採取することができる。当該目的との関連で必要性の認められない利用記録を採取することはできない。
2 前項に規定する目的は、法令の遵守、情報セキュリティの確保、課金その他当該情報機器の利用に必要なものに限られ、個人情報の取得を目的とすることはできない。
3 当該情報機器の管理者は、第1項の目的のために必要な限りで、利用記録を閲覧することができ、他人の個人情報及び通信内容を不必要に閲覧してはならない。
4 当該情報機器の管理者は、第2項に規定する目的のために必要な限りで、利用記録を他の者に伝達することができる。
5 当該情報機器の管理者又は利用記録の伝達を受けた者は、第1項の目的のために必要な限りで、これを保有することができる。不要となった利用記録は、直ちに破棄しなければならない。ただし、当該情報機器の管理者は、利用記録から個人情報に係る部分を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存するよう努めるものとする。
(個人情報の取得と管理)
第58条 電子的に個人情報の提供を求める場合は、提供を求める情報の範囲、利用の目的及び当該情報が伝達される範囲を、あらかじめ相手方に示さなければならない。
2 前項の個人情報は、当人の請求により開示、訂正又は削除をしなければならない。
(利用者等が保有する情報の保護)
第59条 利用者等が保有する情報は、ネットワーク運用に不可欠な範囲又はインシデント対応に不可欠な範囲において、閲覧、複製又は提供することができる。
第8章 暗号と電子署名
(暗号化機能及び電子署名の付与機能の導入)
第60条 部局システム責任者は、要機密情報を取り扱う情報システムについて、暗号化を行う機能を付加する必要性の有無を検討することとする。
2 部局システム責任者は、暗号化を行う必要があると認めた情報システムには、暗号化を行う機能を設けることとする。
3 部局システム責任者は、要保護情報を取り扱う情報システムについて、電子署名の付与を行う機能を付加する必要性の有無を検討することとする。
4 部局システム責任者は、電子署名の付与を行う必要があると認めた情報システムには、電子署名の付与を行う機能を設けることとする。
(暗号化及び電子署名の付与に係る管理)
第61条 部局システム責任者は、暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて、暗号化された情報の復号又は電子署名の付与に用いる鍵について、鍵の生成手順、有効期限、廃棄手順及び更新手順、鍵が露呈した場合の対応手順等を定めることとする。
2 部局システム責任者は、暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて、暗号化された情報の復号又は電子署名の付与に用いる鍵について、鍵の保存媒体及び保存場所を定めることとする。
3 部局システム責任者は、電子署名の付与を行う必要があると認めた情報システムにおいて、電子署名の正当性を検証するための情報又は手段を署名検証者へ提供することとする。
第9章 違反と例外措置
(違反への対応)
第62条 部局総括責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、速やかに調査を行い、事実を確認しなければならない。事実の確認にあたっては、可能な限り当該行為を行った者の意見を聴取することとする。
2 部局総括責任者は、調査によって違反行為が判明したときには、次に掲げる措置を講ずることができる。
(1) 当該行為者に対する当該行為の中止命令
(2) 部局システム責任者に対する当該行為に係る情報発信の遮断命令
(3) 部局システム責任者に対する当該行為者のアカウント停止命令又は削除命令
(4) その他法令に基づく措置
4 部局総括責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合及び第2項に基づき措置を講じた場合は、遅滞無く全学総括責任者にその旨を報告することとする。
第10章 インシデント対応
(インシデントの発生に備えた事前準備)
第63条 全学総括責任者は、情報セキュリティに関するインシデント(故障を含む。第64条までにおいて同じ。)が発生した場合、被害の拡大を防ぐとともに、インシデントから復旧するための体制を整備することとする。
2 全学実施責任者は、インシデントについて利用者等から部局総括責任者への報告手順を整備し、当該報告手段を全ての利用者等に周知することとする。
3 全学実施責任者は、インシデントが発生した際の対応手順を整備することとする。
4 全学実施責任者は、インシデントに備え、本学の研究教育事務の遂行のため特に重要と認めた情報システムについて、その部局システム責任者及び部局システム担当者の緊急連絡先、連絡手段及び連絡内容を含む緊急連絡網を整備することとする。
5 全学実施責任者は、インシデントについて学外から報告を受けるための窓口を設置し、その窓口への連絡手段を学外に公表することとする。
(インシデントの原因調査と再発防止策)
第64条 部局総括責任者は、インシデントが発生した場合には、インシデントの原因を調査して再発防止策を策定し、その結果を全学総括責任者に報告することとする。
2 全学総括責任者は、部局総括責任者からインシデントについての報告を受けた場合には、その内容を検討し、再発防止策を実施するために必要な措置を講ずることとする。
第11章 教育・研修
(情報セキュリティ対策の教育)
第65条 全学実施責任者は、情報セキュリティ関係規程について、部局総括責任者、部局システム責任者、部局システム担当者及び利用者等(本条において「教育啓発対象者」という。)に対し、その啓発をすることとする。
2 全学実施責任者は、情報セキュリティ関係規程について、教育啓発対象者に教育すべき内容を検討し、教育のための資料を整備することとする。
3 全学実施責任者は、教育啓発対象者が定期的に受講できるように、情報セキュリティ対策の教育に係る計画を企画、立案するとともに、その実施体制を整備することとする。
4 全学実施責任者は、教育啓発対象者の入学時又は着任時に速やかに受講できるように、情報セキュリティ対策の教育を企画、立案し、その体制を整備することとする。
5 全学実施責任者は、教育啓発対象者の情報セキュリティ対策の教育の受講状況を管理できる仕組みを整備することとする。
6 全学実施責任者は、教育啓発対象者の情報セキュリティ対策の教育の受講状況について、当該教育啓発対象者の所属する部局の部局総括責任者に通知することとする。
7 部局総括責任者は、教育啓発対象者の情報セキュリティ対策の教育の受講が達成されていない場合には、未受講の者に対して、その受講を勧告すること。教育啓発対象者が当該勧告に従わない場合には、全学実施責任者にその旨を報告することとする。
8 全学情報システム運用委員会は、利用者等からの情報セキュリティ対策に関する相談に対応する窓口を設置することとする。
9 その他、教育・研修に関する事項については、講習計画に定めることとする。
(教育の主体と客体)
第66条 部局システム責任者及び部局システム担当者は、利用者等に対して、講習計画の定める講習を実施することとする。
附則
この規程は、平成27年1月1日から施行する。