東海大学情報セキュリティーポリシー

制定 2006年1月1日

I 情報セキュリティの基本方針

1. 基本方針

高度情報化社会の中で東海大学の構成員が教育や研究、社会活動を安全に遂行していくためには、大学の情報資産の安全性を確保することが不可欠である。
本学の学生、教職員の全てが、情報資産の価値を認識することが肝要であり、自身の情報を守るだけでなく、他者の資産も侵してはならないものとして行動すべきである。
本学は、構成員や学外社会に向けて、高度の安全性が確保された情報システム環境を提供する。本学の構成員はそれを正しく利用する。それにとどまらず、本学からの不正な情報提供や不正アクセスをなくして学外に対しても本学の情報システムの信頼性を高めていく。
本学の全構成員が、情報環境を個々の活動の中で正しく利用していけるよう、情報システムの運用、利用についての指針として、情報セキュリティポリシーを制定する。

情報セキュリティポリシーの目指すところは

(a)本学の情報セキュリティに対する侵害を阻止すること

(b)学内外の情報セキュリティを損ねる加害行為を抑止すること

(c)情報資産に関して、重要度に見合った管理を行うこと

(d)情報セキュリティに関する情報の取得を支援すること

である。

2. 用語の定義

東海大学情報セキュリティポリシー(以下、ポリシーと記す)で使用する用語の定義については、平成12年7月18日の情報セキュリティ対策推進会議による「情報セキュリティポリシーに関するガイドライン」に定める定義と同様とする。

情報セキュリティポリシーに関するガイドライン

3. 対象範囲

ポリシーの対象範囲は、本学の全ての情報資産に加えて、ポリシーの対象者が本学のネットワークに接続して使用するコンピュータを含むものとする。
ポリシーの対象者は、本学の全構成員(専任教職員、特任教職員、非常勤教職員、委託業者、大学院生、大学生、研究生、聴講生など)および本学の情報資産を学内で利用しようとする来学者とする。

4. 実施手順の作成

東海大学情報セキュリティポリシー実施手順(以下、実施手順と記す)を別途定めて情報セキュリティ対策推進の詳細を規定する。学部等および事務部門は部門ごとの情報セキュリティポリシー実施手順を定めてこれを補完する。

II 対策基準

1.組織・体制
本学に情報セキュリティ責任者を長とする情報セキュリティ委員会を設置する。情報セキュリティ委員会はポリシーを策定し、情報セキュリティ対策に関する重要事項を決定する。
学部等および事務部門ごとに情報システム管理責任者を置く。情報システム管理責任者はそれぞれの部門での情報セキュリティ対策実施手順を策定して実施する。
情報セキュリティ責任者は情報システム管理責任者連絡会議を開いて連絡調整、情報交換を行う。組織、体制等の詳細については実施手順に定める。

2.情報の分類と管理

2.1情報の管理
情報資産は、管理の権限を有する者によって管理される。管理の権限については実施手順に規定する。
本学の設置する全てのパソコン、サーバおよび、ネットワーク設備にシステム管理者を定める。
情報をパソコンやサーバに保存する場合、情報の管理者は、バックアップ等の業務をシステム管理者に代行させることができる。システム管理者は管理する上で必要な範囲を超えて情報にアクセスしてはならない。
情報の管理者は、自己の管理する情報へのアクセスのためであっても、システム管理者から許可を得ていない者に情報システムを使用させてはならない。

2.2情報の分類
情報の管理者は、ポリシーの対象となる全ての情報について、公開・非公開を定めなければならない。
以下、閲覧できる者を限定した情報を非公開情報といい、情報の利用者全てに閲覧を許す情報を公開情報という。

(a)非公開情報
システム管理者から許可された者以外がコンピュータに非公開情報を保管してはならない。システム管理者は情報の機密性や重要度に応じた適切なセキュリティ対策を施して情報を管理しなければならない。
非公開情報へのアクセスを許可する者の範囲は情報の管理者が定める。

(b)公開情報
公開情報は情報の改ざんや偽情報の流布への対抗策と、個人情報の漏洩、プライバシーや著作権の侵害への防止策が講じられなければならない。
情報発信を行う場合は、正規の発信者であることを証明する必要が生ずることに留意しなければならない。

2.3情報の作成、保守、システム開発
情報を作成する際は、著作権などの他者の知的財産権を侵していないことを確認しなければならない。
外部委託などのために、非公開情報を限定された第三者に開示する必要がある場合は、開示の都度、守秘義務契約を結ばなければならない。

2.4情報機器および記憶媒体の処分
情報機器および記憶媒体を廃棄する場合は、その処分方法に注意しなければならない。
情報機器および記憶媒体を保守契約により交換する場合、またはレンタル機器の撤去を行う場合は、撤去後の記憶媒体の処理法についても十分配慮しなければならない。

3.物理的セキュリティ

3.1パソコン端末機器とネットワーク設備
システム管理者から許可を得ていないものが機器や設備を使えないような方策を整えなければならない。
パソコンや、ネットワークについては認証と使用の記録を残さなければならない。
端末機器とネットワーク設備には、災害、事故および情報機器の盗難への対策を講じておかなければならない。

3.2サーバ機器
サーバ機器は、その重要度に応じたセキュリティ対策が施された管理場所に設置されなければならない。停止したときに大学内の業務遂行に重大な支障をきたす重要なサーバ機器に対しては、認証と入退室の記録を残さなければならない。
サーバ機器に記録される情報資源は、サーバ機器の重要度に応じて定期的にバックアップを行うこととする。
情報資源を保存するサーバ機器や、情報をバックアップしたメディアには、火災、地震等の災害や盗難等の犯罪から守るための対策を施さなければならない。
重要なサーバ機器については、故障や停電などの事故の際、迅速に保守、回復ができるような体制を整えておかなければならない。

4.人的セキュリティ
ポリシーの対象者は、ポリシーを遵守しなければならない。
システム管理者は、責任を持って個々の情報システムの維持に努めなければならない。

4.1教育・研修
本学の全構成員は、研修会や説明会または講義等を通じ、ポリシーおよび実施手順を理解し、情報セキュリティ上の問題が生じないように努めなければならない。
情報セキュリティ委員会は、システム管理者等が行う教職員向けのポリシーに関する研修の支援をしなければならない。また、教職員が行う学生向けのポリシーに関するオリエンテーションまたは講義に協力しなければならない。
情報セキュリティ委員会は、システム管理責任者がシステム管理者に行う研修プログラムの実施に必要な措置を施さなければならない。

4.2パスワード管理
自己のパスワードは秘密としなければならない。また、十分なセキュリティを維持できるよう、自己のパスワードの設定および変更に配慮しなければならない。
他の利用者のアカウントを使用してはならない。

4.3利用範囲
情報機器やネットワーク設備は利用が許可される際に利用目的が限定されている。許された目的以外で機器や設備を使用してはならない。
アクセス権のない情報システムや情報に入り込もうとしてはならない。意図的でなく入り込んだときは、速やかに退出しなければならない。

4.4システム管理
システム管理者は情報システムの利用資格者の規程を定めなければならない。
規程に基づく利用資格を有する者以外に情報端末のアカウントを発行してはならない。また、利用資格を失った利用者のアカウントを速やかに除去しなければならない。
システム管理者は、いかなる場合にも利用者からのパスワードの聞き取りを行ってはならない。
ログ情報および通信内容の解析等にあたっては、利用者のプライバシーに配慮し、閲覧解析を認める場合の要件と手続きを定めなければならない。

4.5外部委託
本学の業務を請け負う事業者(委託業者)はポリシーの対象者に含まれる。
情報システムの開発および保守ならびにシステム管理業務を委託業者に発注する場合は、契約書面にポリシーおよび実施手順の遵守を明記しなければならない。

5.技術的セキュリティ
情報機器を不正なアクセス等から保護するため、情報機器へのアクセス制御、ネットワーク管理についての対策を講ずることとする。
この対策によって課される制限が教育研究上の利便性を過剰に損なうことは避けられなければならない。

5.1ネットワーク設備およびパソコン、サーバの運用基準
パソコンなどの情報機器をネットワークに接続するときは、システム管理者を決めて、情報システム管理責任者の承認を得なければならない。
システム管理者は、許可を得ていない者が機器や設備を使えないような方策を整えなければならない。
学内のネットワークに接続されている情報機器を使うときは、認証によって利用許可が確認されなければならない。
システム管理者は、管理する情報機器のアクセス記録を、盗難、改ざんや消去等を防止する処置を施して一定期間保存しなければならない。また、定期的にそれらを分析、監視しなければならない。システム管理者の管理する情報機器が不正使用されて学内外に被害を及ぼしているときは、情報セキュリティ委員会や情報システム管理責任者が、対策に必要なアクセス記録の提出を求めることがある。システム管理者はこれに協力しなければならない。

5.2コンピュータウィルス、スパイウェア対策
システム管理者は、不正アクセス、コンピュータウィルスやスパイウェア等情報システムの運用を妨害し、情報を漏洩しようとする攻撃行為から情報資産を守るために必要な対策を講じなければならない。

5.3非公開情報流出への対策
情報の管理者の許可を得た場合を除いて、非公開情報の学外への持ち出し、あるいは、非公開情報への学外からのアクセスをしてはならない。
許可を得て非公開情報を学外に持ち出し、あるいは学外からアクセスするときは、情報を暗号化するなど盗難、紛失や盗聴による情報流出を防ぐための対策を講じなければならない。

6.事故・犯罪と発生時の対処

6.1事故、故障
ポリシーの対象者は、情報セキュリティに関する事故、システム上の障害を発見した場合には、システム管理責任者またはシステム管理者に直ちに報告しなければならない。
システム管理責任者およびシステム管理者は、報告のあった事故等について必要な措置を直ちに講じなければならない。
システム管理責任者は、発生した事故等に関する記録を一定期間保存し、情報セキュリティ委員会に報告すると共に、重大な事故に対しては、迅速な再発防止のための対策を講じなければならない。

6.2不正使用
情報セキュリティ委員会は、情報機器の不正使用の範囲とそれに対処するための措置手順を定める。 システム管理責任者は、学内、学外からの報告や依頼を受けて、情報機器の不正使用の調査を早急に行う。不正使用が確認されたときは、手順に従って、関連する通信の遮断または該当する情報機器の切り離しを実施する。
あらかじめ定めのない行為によって情報セキュリティが阻害されたときは、情報セキュリティ責任者の判断で緊急に対処する。
本学の構成員が不正使用を行ったときは、学則、勤務規則、その他の諸規則に従って処分を受けることがある。 情報セキュリティ委員会は、発生した不正行為の内容と対処を、セキュリティを損なわない範囲で公表する。

7.点検・評価
情報セキュリティ委員会は、ポリシーに関する点検と評価のために以下のような情報を収集して定期的に検討する。

(a)本学の構成員からのポリシー遵守に関する意見と実施運用上の要望、クレーム

(b)事故、故障、不正行為の事例、対策の成功事例、システム管理者からの意見や要望

(c)ポリシーの実施状況についての点検・監査結果

(d)情報システムの機密性、完全性および可用性ならびに犯罪予防の観点からの情報セキュリティ診断結果

情報セキュリティ委員会は、これらの情報をもとに、ポリシーの実効性を評価し、よりセキュリティレベルの高い、かつ、遵守可能なポリシーに更新しなければならない。
情報セキュリティ責任者は学長に点検・評価の結果を報告し、本学の全構成員に提示して啓発する。