旭川市立大学・旭川市立大学短期大学部規程集

○公立大学法人旭川市立大学情報セキュリティ対策基本規程

(令和6年6月26日制定)

(目的)

第1条　本規程は、公立大学法人旭川市立大学（以下「法人」という。）における情報及び情報システムの情報セキュリティ対策について基本的な事項を定めることを目的とする。

(適用範囲)

第2条　本規程において適用対象とする者は、教職員等並びに法人の情報システムの利用者及び臨時利用者とする。

2　本規程において適用対象とする情報は、以下の情報とする。

(1)　教職員等が職務上使用することを目的として法人が調達し又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報（当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。）

(2)　その他の情報システム又は外部電磁的記録媒体に記録された情報（当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。）であって、教職員等が職務上取り扱う情報

(3)　前２号の他、法人が調達し又は開発した情報システムの設計又は運用管理に関する情報

3　本規程において適用対象とする情報システムは、本規程の適用対象となる情報を取扱う全ての情報システムとする。

(用語定義)

第3条　本規程において、次に掲げる用語の定義は、当該各号に定めるところによる。

(1)　運用規程

対策基準に定められた対策内容を個別の情報システムや業務において運用するため、あらかじめ定める必要のある具体的な規程や基準をいう。

(2)　学生等

旭川市立大学及び旭川市立大学短期大学部並びに旭川市立大学大学院に所属する学生その他学長が認めた者をいう。

(3)　機器等

情報システムの構成要素（サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等）、外部電磁的記録媒体等の総称をいう。

(4)　教職員等

法人の役員、法人に勤務する職員（派遣職員を含む）その他理事長が認めた者をいう。

(5)　業務委託

法人の業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。ただし、当該業務において法人の情報を取扱わせる場合に限る。

(6)　記録媒体

情報が記録され又は記載される有体物をいう。記録媒体には文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物（以下「書面」という。）と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの（以下「電磁的記録」という。）に係る記録媒体（以下「電磁的記録媒体」という。）がある。また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD-R等の外部電磁的記録媒体がある。

(7)　サーバ装置

情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの（搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。）をいい、特に断りがない限り、法人が調達又は開発するものをいう。

(8)　CSIRT（シーサート）

法人において発生した情報セキュリティインシデントに対処するため、法人に設置された体制をいう。Computer Security Incident Response Teamの略。

(9)　実施手順

対策基準に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。

(10)　情報

第２条第２項に定めるものをいう。

[第２条第２項]

(11)　情報システム

ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、法人が調達又は開発するもの（管理を外部委託しているシステムを含む。）をいう。

(12)　情報セキュリティインシデント

JIS Q 27000:2019における情報セキュリティインシデントをいう。

(13)　情報セキュリティ関連規程

対策基準及び実施手順を総称したものをいう。

(14)　情報セキュリティ対策推進体制

法人の情報セキュリティ対策の推進に係る事務を遂行するため、法人内に設置された体制をいう。

(15)　対策基準

法人における情報及び情報システムの情報セキュリティを確保するための対策の基準として定める公立大学法人旭川市立大学情報セキュリティ対策基準をいう。

(16)　対策推進計画

情報セキュリティ対策を組織的・継続的に実施し、総合的に推進するための計画をいう。

(17)　端末

情報システムの構成要素である機器のうち、利用者等が情報処理を行うために直接操作するもの（搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。）をいい、特に断りがない限り、法人が調達又は開発するものをいう。端末には、モバイル端末も含まれる。特に断りを入れた例としては、法人が調達又は開発するもの以外を指す「法人支給以外の端末」がある。また、法人が調達又は開発した端末と法人支給以外の端末の双方を合わせて「端末（支給外端末を含む）」という。

(18)　通信回線

複数の情報システム又は機器等（法人が調達等を行うもの以外のものを含む。）の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、法人の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、法人が直接管理していないものも含まれ、その種類（有線又は無線、物理回線又は仮想回線等）は問わない。

(19)　通信回線装置

通信回線間又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等の他、ファイアウォール等も含まれる。

(20)　ポリシー

公立大学法人旭川市立大学情報セキュリティ対策基本方針及び本規程をいう。

[公立大学法人旭川市立大学情報セキュリティ対策基本方針]

(21)　モバイル端末

端末のうち、必要に応じて移動させて使用することを目的としたものをいい、端末の形態は問わない。

(22)　要管理対策区域

法人の管理下にある区域（外部組織から借用している施設等における区域を含む。）であって、取扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。

(23)　利用者

教職員等及び学生等で、法人の情報システムを利用する許可を受けて利用するものをいう。

(24)　利用者等

利用者及び臨時利用者の他、法人の情報システムを取扱う者をいう。

(25)　臨時利用者

教職員等及び学生等以外の者で、法人の情報システムを臨時に利用する許可を受けて利用するものをいう。

(全学総括責任者及び全学総括副責任者の設置)

第4条　法人における情報セキュリティに関する事務を統括する全学総括責任者１人を置く。理事長がこれを任命する。

2　全学総括責任者は、次に掲げる事務を統括すること。

(1)　情報セキュリティ対策推進のための組織・体制の整備

(2)　情報セキュリティ対策基準の決定、見直し

(3)　対策推進計画の決定、見直し

(4)　情報セキュリティインシデントに対処するために必要な指示その他の措置

(5)　情報セキュリティ監査の結果を踏まえた改善計画の策定等の必要な措置の指示

(6)　前各号に掲げるものの他、情報セキュリティに関する重要事項

3　全学総括責任者を助けて法人における情報セキュリティに関する事務を整理し、全学総括責任者の命を受けて法人の情報セキュリティに関する事務を統括する全学総括副責任者１人を必要に応じて置くこと。

(全学情報セキュリティ委員会の設置)

第5条　全学総括責任者は、対策基準等の審議を行う機能を持つ組織として、情報セキュリティ対策推進体制及びその他業務を実施する部局の代表者を構成員とする全学情報セキュリティ委員会を置くこと。

2　全学情報セキュリティ委員会の委員長及び委員は、全学総括責任者が情報セキュリティ対策推進体制及びその他の業務を実施する部局の代表者から指名すること。

3　全学情報セキュリティ委員会は、次に掲げる事項を審議すること。

(1)　情報セキュリティ対策基準

(2)　対策推進計画

(3)　前２号に掲げるものの他、情報セキュリティに関し必要な事項

(情報セキュリティ監査責任者の設置)

第6条　全学総括責任者は、その指示に基づき実施する監査に関する事務を統括する者として、情報セキュリティ監査責任者１人を置くこと。

2　情報セキュリティ監査責任者は、命により次の事務を統括すること。

(1)　監査実施計画の策定

(2)　監査実施体制の整備

(3)　監査の実施指示及び監査結果の全学総括責任者への報告

(4)　前３号に掲げるものの他、情報セキュリティの監査に関する事項

(全学実施責任者・部局総括責任者の設置)

第7条　全学総括責任者は、業務の特性等から同質の情報セキュリティ対策の運用が可能な組織のまとまりごとに、情報セキュリティ対策に関する事務を統括する者として、部局総括責任者１人を置くこと。そのうち、部局総括責任者を統括し、全学総括責任者及び全学総括副責任者を補佐する者として、全学実施責任者１人を選任すること。

2　全学実施責任者は、命を受け、次の事務を統括すること。

(1)　要管理対策区域の決定並びに当該区域における施設及び環境に係る対策の決定

(2)　情報セキュリティ対策に関する運用規程・実施手順の整備及び見直し並びに運用規程・実施手順に関する事務の取りまとめ

(3)　情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備

(4)　例外措置の適用審査記録の台帳整備等

(5)　情報セキュリティインシデントに対処するための緊急連絡窓口の整備等

(6)　前各号に掲げるものの他、情報セキュリティ対策に係る事務

3　部局総括責任者は、命を受け、管理を行う組織のまとまりにおける情報セキュリティ対策を推進するため、次の事務を統括すること。

(1)　定められた区域ごとの区域情報セキュリティ責任者の設置

(2)　部局の職場情報セキュリティ責任者の設置

(3)　情報システムごとの部局技術責任者の設置

(4)　情報セキュリティインシデントの原因調査、再発防止策等の実施

(5)　情報セキュリティに係る自己点検計画の策定及び実施手順の整備

(6)　前各号に掲げるものの他、情報セキュリティ対策に係る事務

(管理運営部局が行う事務)

第8条　法人の管理運営部局は、全学実施責任者の指示により、次に掲げる事務を行う。

(1)　全学情報セキュリティ委員会の運営に関する事務

(2)　法人の情報システムの運用と利用におけるポリシーの実施状況の取りまとめ

(3)　講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ

(4)　法人の情報システムのセキュリティに関する連絡と通報

(5)　全学総括責任者及び全学実施責任者の支援

第9条　欠

(区域情報セキュリティ責任者の設置)

第10条　部局総括責任者は、公立大学法人旭川市立大学情報セキュリティ対策基準第57条第１項で定める区域ごとに、当該区域における情報セキュリティ対策の事務を統括する区域情報セキュリティ責任者１人を置くこと。

2　区域情報セキュリティ責任者は、命を受け、定められた区域における施設及び環境に係る情報セキュリティ対策に関する事務を統括すること。

(職場情報セキュリティ責任者の設置)

第11条　部局総括責任者は、教室、研究室、事務室等の管理組織単位ごとに情報セキュリティ対策に関する事務を統括する職場情報セキュリティ責任者1人を置くこと。

2　職場情報セキュリティ責任者は、命を受け、教室、研究室、事務室等の管理組織単位における情報の取扱いその他の情報セキュリティ対策に関する事務を統括すること。

(部局情報セキュリティ委員会)

第12条　各部局に部局情報セキュリティ委員会を置く。

2　部局情報セキュリティ委員会は、次に掲げる事項を実施する。

(1)　部局におけるポリシーの遵守状況の調査と周知徹底

(2)　部局におけるリスク管理及び非常時行動計画の策定及び実施

(3)　部局における情報セキュリティインシデントの再発防止策の策定及び実施

(4)　部局における部局技術担当者向け教育の計画と企画

(部局情報セキュリティ委員会の構成員)

第13条　部局情報セキュリティ委員会は、委員長及び次に掲げる者を委員として組織する。

(1)　部局技術責任者

(2)　部局技術担当者

(3)　その他部局総括責任者が必要と認める者

(部局情報セキュリティ委員会の委員長)

第14条　部局情報セキュリティ委員会の委員長は、部局総括責任者をもって充てる。

(部局技術責任者の設置)

第15条　部局総括責任者は、所管する情報システムに対する情報セキュリティ対策に関する事務の責任者として、部局技術責任者を、当該情報システムの企画に着手するまでに選任すること。

2　部局技術責任者は、命を受け、情報システムにおける情報セキュリティ対策に関する事務を担うこと。

3　部局技術責任者は、所管する情報システムの管理業務において必要な単位ごとに部局技術担当者を置くこと。

(情報セキュリティアドバイザーの設置)

第16条　全学総括責任者は、情報セキュリティについて専門的な知識及び経験を有する者を情報セキュリティアドバイザーとして置き、自らへの助言を含む情報セキュリティアドバイザーの業務内容を定めること。

2　全学総括責任者は、以下を例とする情報セキュリティアドバイザーの業務内容を定めること。

(1)　全学の情報セキュリティ対策の推進に係る全学総括責任者及び全学総括副責任者への助言

(2)　情報セキュリティ関係規程の整備に係る助言

(3)　対策推進計画の策定に係る助言

(4)　教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援

(5)　情報システムに係る技術的事項に係る助言

(6)　情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言

(7)　利用者に対する日常的な相談対応

(8)　情報セキュリティインシデントへの対処の支援

(9)　情報システムの分類に応じた情報セキュリティ対策に係る助言

(10)　前各号に掲げるものの他、情報セキュリティ対策への助言又は支援

(情報セキュリティ対策推進体制の整備)

第17条　全学総括責任者は、法人の情報セキュリティ対策推進体制を整備し、その役割を規定すること。

2　全学総括責任者は、以下を含む情報セキュリティ対策推進体制の役割を規定すること。

(1)　情報セキュリティ関係規程及び対策推進計画の策定に係る事務

(2)　情報セキュリティ関係規程の運用に係る事務

(3)　例外措置に係る事務

(4)　情報セキュリティ対策の教育の実施に係る事務

(5)　情報セキュリティ対策の自己点検に係る事務

(6)　情報セキュリティ関係規程及び対策推進計画の見直しに係る事務

3　全学総括責任者は、情報セキュリティ対策推進体制の責任者を定めること。

(情報セキュリティインシデントに備えた体制の整備)

第18条　全学総括責任者は、CSIRTを整備し、その役割を明確化すること。

2　全学総括責任者は、以下を全て含むCSIRTの役割を規定すること。

(1)　法人に関わる情報セキュリティインシデント発生時の対処の一元管理

ア　全学における情報セキュリティインシデント対処の管理

イ　情報セキュリティインシデントの可能性の報告受付

ウ　法人における情報セキュリティインシデントに関する情報の集約

エ　情報セキュリティインシデントの全学総括責任者等への報告

オ　情報セキュリティインシデントへの対処に関する指示系統の一本化

(2)　情報セキュリティインシデントへの迅速かつ的確な対処

ア　情報セキュリティインシデントであるかの評価

イ　被害の拡大防止を図るための応急措置の指示又は勧告を含む情報セキュリティインシデントへの対処全般に関する指示、勧告又は助言

ウ　文部科学省への連絡

エ　外部専門機関等からの情報セキュリティインシデントに係る情報の収集

オ　他の機関等への情報セキュリティインシデントに係る情報の共有

カ　情報セキュリティインシデントへの対処に係る専門的知見の提供、対処作業の実施

3　全学総括責任者は、実務担当者を含めた実効性のあるCSIRT体制を構築すること。

4　全学総括責任者は、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家等による必要な支援を速やかに得られる体制を構築しておくこと。

5　全学総括責任者は、法人における情報セキュリティインシデント対処について、CSIRT、情報セキュリティインシデントの当事者部局及びその他関連部局の役割分担を規定すること。

6　全学総括責任者は、教職員等のうちからCSIRTに属する職員として専門的な知識又は適性を有すると認められる者を選任する。そのうち、法人における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置くこと。また、CSIRT内の業務統括及び外部との連携等を行う教職員等を定めること

7　全学総括責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備すること。

第19条　欠

(兼務を禁止する役割)

第20条　教職員等は、情報セキュリティ対策の運用において、以下の役割を兼務しないこと。

(1)　承認又は許可（以下本条において「承認等」という。）の申請者と当該承認を行う許可権限者

(2)　監査を受ける者とその監査を実施する者

2　教職員等は、承認等を申請する場合において、自らが許可権限者等であるときその他許可権限者等が承認等の可否の判断をすることが不適切と認められるときは、当該許可権限者等の上司又は適切な者に承認等を申請し、承認等を得ること。

(対策基準の策定)

第21条　全学総括責任者は、全学情報セキュリティ委員会における審議を経て、サイバーセキュリティ戦略本部決定「政府機関等のサイバーセキュリティ対策のための統一基準群」に準拠し、これに相当する情報セキュリティ対策が可能となるように対策基準を定めること。また、対策基準は、法人の業務、取扱う情報、保有する情報システムに関するリスク評価の結果及び対策基準や対策推進計画の見直し結果を踏まえた上で定めること。

(改廃)

第22条　この規程の改廃については、大学運営会議の議を経て理事長が行う。

附　則

この規程は、令和6年6月27日から施行する。