公立大学法人山陽小野田市立山口東京理科大学情報セキュリティ対策基本規程

○公立大学法人山陽小野田市立山口東京理科大学情報セキュリティ対策基本規程

令和6年4月1日

規程第29号

(目的)

第1条　本規程は、公立大学法人山陽小野田市立山口東京理科大学(以下「本学」という。)における情報及び情報システムの情報セキュリティ対策について基本的な事項を定め、もって本学の保有する情報の保護と活用及び情報セキュリティ水準の適切な維持向上を図ることを目的とする。

(適用範囲)

第2条　本規程において適用対象とする者は、全ての教職員、並びに本学の情報システムの利用者及び臨時利用者とする。

2　本規程において適用対象とする情報は、以下の情報とする。

(1)　教職員等が職務上使用することを目的として本学が調達し、又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)

(2)　その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)であって、教職員等が職務上取り扱う情報

(3)　第1号及び第2号のほか、本学が調達し、又は開発した情報システムの設計又は運用管理に関する情報

3　本規程において適用対象とする情報システムは、本規程の適用対象となる情報を取り扱う全ての情報システムとする。

(用語定義)

第3条　本規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。

(1)　外部サービス

学外の者が一般向けに情報システムの一部又は全部の機能を提供するものをいう。ただし、当該機能において本学の情報が取り扱われる場合に限る。

(2)　外部サービス管理者

外部サービスの利用における利用申請の許可権限者から利用承認時に指名された当該外部サービスに係る管理を行う者をいう。

(3)　外部サービス提供者

外部サービスを提供する事業者をいう。外部サービスを利用して本学に向けて独自のサービスを提供する事業者は含まれない。

(4)　外部サービス利用者

外部サービスを利用する本学の利用者等又は業務委託した委託先において外部サービスを利用する場合の委託先の従業員をいう。

(5)　学生等

本学通則に定める学部学生、大学院学生、研究生、研究員、研修員並びに研究者等、その他、部局総括責任者が認めた者をいう。

(6)　機器等

情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。

(7)　教職員等

本学を設置する法人の役員及び、本学に勤務する常勤又は非常勤の教職員(派遣職員を含む)その他、部局総括責任者が認めた者をいう。教職員等には、個々の勤務条件にもよるが、例えば、派遣労働者、一時的に受け入れる研修生等も含まれている。

(8)　業務委託

本学の業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。ただし、当該業務において本学の情報を取り扱わせる場合に限る。

(9)　記録媒体

情報が記録され、又は記載される有体物をいう。記録媒体には、文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD―R等の外部電磁的記録媒体がある。

(10)　サーバ装置

情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本学が調達又は開発するものをいう。

(11)　CSIRT(シーサート)

本学において発生した情報セキュリティインシデントに対処するため、本学に設置された体制をいう。Computer Security Incident Response Teamの略。

(12)　実施手順

対策基準に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。

(13)　情報

本規程第2条第2項に定めるものをいう。

(14)　情報システム

ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。

(15)　情報セキュリティインシデント

JIS Q 27000：2019における情報セキュリティインシデントをいう。

(16)　情報セキュリティ関連規程

対策基準及び実施手順を総称したものをいう。

(17)　情報セキュリティ対策推進体制

本学の情報セキュリティ対策の推進に係る事務を遂行するため、学内に設置された体制をいう。

(18)　対策基準

本学における情報及び情報システムの情報セキュリティを確保するための対策の基準として定める公立大学法人山陽小野田市立山口東京理科大学情報セキュリティ対策基準をいう。

(19)　端末

情報システムの構成要素である機器のうち、利用者等が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本学が調達又は開発するものをいう。端末には、モバイル端末も含まれる。特に断りを入れた例としては、本学が調達又は開発するもの以外を指す「本学支給以外の端末」がある。また、本学が調達又は開発した端末と本学支給以外の端末の双方を合わせて「端末(支給外端末を含む)」という。

(20)　通信回線

複数の情報システム又は機器等(本学が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、本学の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、本学が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。

(21)　通信回線装置

通信回線間又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。

(22)　ポリシー

本学が定める公立大学法人山陽小野田市立山口東京理科大学情報セキュリティ対策基本方針及び本規程をいう。

(23)　モバイル端末

端末のうち、必要に応じて移動させて使用することを目的としたものをいい、端末の形態は問わない。

(24)　要管理対策区域

本学の管理下にある区域(学外組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。

(25)　利用者

教職員等及び学生等で、本学の情報システムを利用する許可を受けて利用するものをいう。

(26)　臨時利用者

教職員等及び学生等以外の者で、本学の情報システムを臨時に利用する許可を受けて利用するものをいう。

(全学総括責任者)

第4条　本学における情報セキュリティに関する事務を統括する全学総括責任者1人を置く。理事長がこれを任命する。

2　全学総括責任者を助けて本学における情報セキュリティに関する事務を整理し、全学総括責任者の命を受けて本学の情報セキュリティに関する事務を統括する全学総括副責任者1人を必要に応じて置くこと。

3　全学総括責任者は、次に掲げる事務を統括すること。

(1)　情報セキュリティ対策推進のための組織・体制の整備

(2)　情報セキュリティ対策基準の決定、見直し

(3)　対策推進計画の決定、見直し

(4)　情報セキュリティインシデントに対処するために必要な指示その他の措置

(5)　前各号に掲げるもののほか、情報セキュリティに関する重要事項

(全学情報セキュリティ委員会の設置)

第5条　全学総括責任者は、対策基準等の審議を行う機能を持つ組織として、情報セキュリティ対策推進体制及びその他業務を実施する部局の代表者を構成員とする全学情報セキュリティ委員会を置くこと。

2　全学情報セキュリティ委員会の委員長及び委員は、全学総括責任者が情報セキュリティ対策推進体制及びその他の業務を実施する部局の代表者から指名すること。

3　全学情報セキュリティ委員会は、次に掲げる事項を審議すること。

(1)　情報セキュリティ対策基準

(2)　対策推進計画

(3)　前各号に掲げるもののほか、情報セキュリティに関し必要な事項

(情報セキュリティ監査責任者)

第6条　情報セキュリティ監査責任者は、監査室長とする。

2　情報セキュリティ監査責任者は、全学総括責任者の命により次の事務を統括すること。

(1)　監査実施計画の策定

(2)　監査実施体制の整備

(3)　監査の実施指示及び監査結果の全学総括責任者への報告

(4)　前各号に掲げるもののほか、情報セキュリティの監査に関する事項

(全学実施責任者・部局総括責任者の設置)

第7条　全学総括責任者は、業務の特性等から同質の情報セキュリティ対策の運用が可能な組織のまとまりごとに、情報セキュリティ対策に関する事務を統括する者として、部局総括責任者1人を置くこと。そのうち、部局総括責任者を統括し、全学総括責任者及び全学総括副責任者を補佐する者として、全学実施責任者1人を選任すること。

2　全学実施責任者は、命を受け、次の事務を統括すること。

(1)　要管理対策区域の決定並びに当該区域における施設及び環境に係る対策の決定

(2)　情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ

(3)　情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備

(4)　例外措置の適用審査記録の台帳整備等

(5)　情報セキュリティインシデントに対処するための緊急連絡窓口の整備等

(6)　前各号に掲げるもののほか、情報セキュリティ対策に係る事務

3　部局総括責任者は、命を受け、管理を行う組織のまとまりにおける情報セキュリティ対策を推進するため、次の事務を統括すること。

(1)　定められた区域ごとの区域部局総括責任者の設置

(2)　部局の職場情報セキュリティ責任者の設置

(3)　情報システムごとの部局技術責任者の設置

(4)　情報セキュリティインシデントの原因調査、再発防止策等の実施

(5)　情報セキュリティに係る自己点検計画の策定及び実施手順の整備

(6)　前各号に掲げるもののほか、管理を行う組織のまとまりの情報セキュリティ対策に関する事務

(管理運営部局)

第8条　本学情報システムの管理運営部局は、情報システム課とする。

(管理運営部局が行う事務)

第9条　本学の管理運営部局は、全学実施責任者の指示により、以下の各号に定める事務を行う。

(1)　全学情報セキュリティ委員会の運営に関する事務

(2)　本学の情報システムの運用と利用におけるポリシーの実施状況の取りまとめ

(3)　講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ

(4)　本学の情報システムのセキュリティに関する連絡と通報

(5)　全学総括責任者及び全学実施責任者の支援

(区域情報セキュリティ責任者の設置)

第10条　部局総括責任者は、公立大学法人山陽小野田市立山口東京理科大学情報セキュリティ対策基準第54条で定める区域ごとに、当該区域における情報セキュリティ対策の事務を統括する区域情報セキュリティ責任者1人を置くこと。

2　区域情報セキュリティ責任者は、命を受け、定められた区域における施設及び環境に係る情報セキュリティ対策に関する事務を統括すること。

(職場情報セキュリティ責任者の設置)

第11条　部局総括責任者は、教室、研究室、事務室等の管理組織単位ごとに情報セキュリティ対策に関する事務を統括する職場情報セキュリティ責任者1人を置くこと。

2　職場情報セキュリティ責任者は、命を受け、教室、研究室、事務室等の管理組織単位における情報の取扱いその他の情報セキュリティ対策に関する事務を統括すること。

(部局技術責任者の設置)

第12条　部局総括責任者は、所管する情報システムに対する情報セキュリティ対策に関する事務の責任者として、部局技術責任者を、当該情報システムの企画に着手するまでに選任すること。

2　部局技術責任者は、命を受け、情報システムにおける情報セキュリティ対策に関する事務を担うこと。

3　部局技術責任者は、所管する情報システムの管理業務において必要な単位ごとに部局技術担当者を置くこと。

(全学情報セキュリティアドバイザーの設置)

第13条　全学総括責任者は、情報セキュリティについて専門的な知識及び経験を有する者を全学情報セキュリティアドバイザーとして置くことができる。

2　全学総括責任者は、以下を例とする全学情報セキュリティアドバイザーの業務内容を定める。

(1)　全学の情報セキュリティ対策の推進に係る全学総括責任者及び全学総括副責任者への助言

(2)　情報セキュリティ関係規程の整備に係る助言

(3)　対策推進計画の策定に係る助言

(4)　教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援

(5)　情報システムに係る技術的事項に係る助言

(6)　情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言

(7)　利用者に対する日常的な相談対応

(8)　情報セキュリティインシデントへの対処の支援

(9)　前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援

(情報セキュリティ対策推進体制の整備)

第14条　全学総括責任者は、本学の情報セキュリティ対策推進体制を整備し、その役割を規定すること。

2　全学総括責任者は、必要に応じて情報セキュリティ対策推進体制の責任者を定めることができる。

3　全学総括責任者は、以下を含む情報セキュリティ対策推進体制の役割を規定すること。

(1)　情報セキュリティ関係規程及び対策推進計画の策定に係る事務

(2)　情報セキュリティ関係規程の運用に係る事務

(3)　例外措置に係る事務

(4)　情報セキュリティ対策の教育の実施に係る事務

(5)　情報セキュリティ対策の自己点検に係る事務

(6)　情報セキュリティ関係規程及び対策推進計画の見直しに係る事務

(情報セキュリティインシデントに備えた体制の整備)

第15条　全学総括責任者は、CSIRTを整備し、その役割を明確化する。

2　全学総括責任者は、教職員等のうちからCSIRTに属する職員として専門的な知識又は適性を有すると認められる者を選任する。そのうち、本学における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置くこと。また、CSIRT内の業務統括及び外部との連携等を行う教職員等を定めること

3　全学総括責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備すること。

4　全学総括責任者は、以下を含むCSIRTの役割を規定すること。

(1)　本学に関わる情報セキュリティインシデント発生時の対処の一元管理

・全学における情報セキュリティインシデント対処の管理

・情報セキュリティインシデントの可能性の報告受付

・本学における情報セキュリティインシデントに関する情報の集約

・情報セキュリティインシデントの全学総括責任者等への報告

・情報セキュリティインシデントへの対処に関する指示系統の一本化

(2)　情報セキュリティインシデントへの迅速かつ的確な対処

・情報セキュリティインシデントであるかの評価

・被害の拡大防止を図るための応急措置の指示又は勧告を含む情報セキュリティインシデントへの対処全般に関する指示、勧告又は助言

・文部科学省への連絡

・外部専門機関等からの情報セキュリティインシデントに係る情報の収集

・他の機関等への情報セキュリティインシデントに係る情報の共有

・情報セキュリティインシデントへの対処に係る専門的知見の提供、対処作業の実施

5　全学総括責任者は、実務担当者を含めた実効性のあるCSIRT体制を構築すること。

6　全学総括責任者は、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家等による必要な支援を速やかに得られる体制を構築しておくこと。

7　全学総括責任者は、全学における情報セキュリティインシデント対処について、CSIRT、情報セキュリティインシデントの当事者部局及びその他関連部局の役割分担を規定すること。

(事業継続計画との整合)

第16条　全学実施責任者は、情報セキュリティ関連規程の整備又は見直しを指示するに際し、当該規程が満たすべき要件として事業継続計画(BCP)との整合性の確保を含めること。

(兼務を禁止する役割)

第17条　教職員等は、情報セキュリティ対策の運用において、以下の役割を兼務しないこと。

(1)　承認又は許可(以下本条において「承認等」という。)の申請者と当該承認を行う者(以下、本条において「承認権限者等」という。)

(2)　監査を受ける者とその監査を実施する者

2　教職員等は、承認等を申請する場合において、自らが承認権限者等であるときその他承認権限者等が承認等の可否の判断をすることが不適切と認められるときは、当該承認権限者等の上司又は適切な者に承認等を申請し、承認等を得ること。

(対策基準の策定)

第18条　全学総括責任者は、全学情報セキュリティ委員会における審議を経て対策基準を定めること。また、対策基準は、本学の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた上で定めること。

附則

1　この規程は、令和6年4月1日から施行する。

2　公立大学法人山陽小野田市立山口東京理科大学情報セキュリティ規程(平成28年4月1日規程第75号)は、廃止する。

3　公立大学法人山陽小野田市立山口東京理科大学情報セキュリティ委員会規程(平成28年4月1日規程第7号)は、廃止する。

4　公立大学法人山陽小野田市立山口東京理科大学情報ネットワーク利用規程(平成28年4月1日規程第76号)は、廃止する。