○国立大学法人長岡技術科学大学情報セキュリティ管理基本規程
(平成20年9月3日規程第9号)
改正
平成30年3月28日規程第14号
令和3年1月13日規程第8号
令和4年9月29日規程第5号
(目的)
第1条 この規程は、国立大学法人長岡技術科学大学情報セキュリティ管理基本方針(以下「管理基本方針」という。)に則り、国立大学法人長岡技術科学大学(以下「本学」という。)における情報セキュリティ管理に関する事項について定めることを目的とする。
[国立大学法人長岡技術科学大学情報セキュリティ管理基本方針(以下「管理基本方針」という。)]
(定義)
第2条 この規程における用語の定義は、管理基本方針第3条各号に定めるところによる。
[管理基本方針第3条各号]
(法令等の遵守)
第3条 役職員は、この規程その他関係学内規則に定めるもののほか、学内外の情報資産に関して、次の各号に掲げる法令を遵守しなければならない。
一 刑法(明治40年法律第45号)及び不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
二 民法(明治29年法律第89号)
三 特許法(昭和34年法律第121号)、意匠法(昭和34年法律第125号)、商標法(昭和34年法律第127号)、著作権法(昭和45年法律第48号)、不正競争防止法(平成5年法律第47号)及び知的財産基本法(平成14年法律第122号)
四 個人情報の保護に関する法律(平成15年法律第57号)
五 電気通信事業法(昭和59年法律第86号)、電子署名及び認証業務に関する法律(平成12年法律第102号)、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成13年法律第137号)
六 その他情報セキュリティに関連する法令等
2 役職員は、役職員以外の本学の情報資産を利用する者に対して、前項について遵守させなければならない。
(情報倫理の遵守及び目的外使用等の禁止)
第4条 本学の情報システムを利用する者は、別に定める「国立大学法人長岡技術科学大学情報倫理規程」を遵守するとともに、情報資産をその目的外及び私的な目的に使用してはならない。
[国立大学法人長岡技術科学大学情報倫理規程]
(具体的な管理方法)
第5条 情報セキュリティの具体的な管理については、別に定める情報セキュリティ管理運用の取扱い(以下「運用の取扱い」という。)により、第13条第2項に定める最高情報セキュリティ責任者がこれを徹底させるものとする。
[第13条第2項]
(機密区分の設定)
第6条 情報は、その機密の程度に応じて次のとおり区分する。
機密区分分類の基準
厳秘一 機密保全の必要性が高く、指定された関係者以外に開示されてはならない情報
二 他者への漏えいにより、全学的に深刻かつ重大な影響を与えるおそれ及び本学の社会的信用を失墜させるおそれのある情報
一 厳秘に次いで、特定の関係者以外に知らせてはならない情報
二 関連法規・契約で守秘を義務付けられている重要な情報
学内情報 上記以外で、学外に開示してはならない情報
公開一 上記以外で、他者に漏えいしても影響のない情報
二 積極的に開示すべき情報
(情報管理責任)
第7条 情報管理責任者は、自らが管理責任を持つ情報について、次の各号を実施しなければならない。
一 前条の規定により、機密区分を設定し、これを明示すること。
二 機密区分の有効期限を設定し、これを明示すること。
三 その使用目的を明確にするとともに、さらにその情報が個人情報保護の対象に当たる場合は、国立大学法人長岡技術科学大学個人情報保護規則及び国立大学法人長岡技術科学大学保有個人情報管理規程に基づき取り扱うこと。
[国立大学法人長岡技術科学大学個人情報保護規則]
四 職務上必要とする者にのみアクセス権限を付与すること。
五 学外への持出しの可否又は公開すべきか否かを判断すること。
六 機密区分に応じて、別に定める方法により廃棄処理手続を行うこと。
2 情報管理責任者は、前項の実施に当たり、必要に応じて組織責任者の判断を仰ぐものとする。
(情報セキュリティ管理責任)
第8条 情報資産を保有・管理・運用し、又は利用するすべての者は、情報システムのみならず、利用する情報について、セキュリティ管理責任(機密性、完全性及び可用性)を負うものとする。
2 学外の機関との共同研究、受託研究等における情報セキュリティ管理については、当該事業のプロジェクトの長が、情報セキュリティ管理責任のすべてを負うものとし、その管理のために必要な措置を講ずるものとする。
(情報資産へのアクセス)
第9条 情報資産へのアクセスは、アクセス権限者のみ行うことができる。
2 情報資産へのアクセスは、第7条に基づき情報管理責任者が指定した条件のもとに行わなければならない。
[第7条]
(機密区分の変更)
第10条 機密区分及びその有効期限の変更は、情報管理責任者又は情報管理責任者からその管理権限を委任された(継承した)者(以下「情報管理責任者等」という。)のみが行うことができる。
2 情報管理責任者等は、適宜、機密区分及びその有効期限の見直しを行い、変更を行ったときは、これを明示するものとする。
(情報内容の変更)
第11条 情報内容の変更は、情報管理責任者等のみが行うことができる。
2 情報管理責任者等は、適宜、情報内容の見直しを行うものとする。
(外部委託等契約)
第12条 情報システムの開発・運用及び保守並びに情報の処理を外部の業者(下請けとして受託する業者を含む。)に委託する場合又は労働者派遣事業者と契約を締結してこれらの業務を遂行する場合には、次に掲げる事項を契約書に明記しなければならない。
一 情報資産の破壊及び運用妨害をしないこと。
二 情報の改ざん、漏えい、譲渡及び公開をしないこと。
三 情報資産をその目的外及び私的な目的に使用しないこと。
四 前各号に違反した場合は、契約を解除すること及び相応の損害賠償責任を負うこと。
(統括及び最高情報セキュリティ責任者)
第13条 本学の情報セキュリティに関する事項については、国立大学法人長岡技術科学大学情報統合管理会議(以下「情報統合管理会議」という。)がこれを統括する。
2 本学の情報セキュリティに関するすべての権限及び管理責任を有する者として、最高情報セキュリティ責任者(Chief Information Security Officer以下「CISO」という。)を置き、情報統合管理会議の議長をもって充てる。
3 CISOは、本学及び学外の機関の情報資産に対する重大な侵害、脅威等の事案が発生した場合は、これに対応する対策本部を設置し、これを指揮する。
(情報セキュリティアドバイザー)
第14条 本学の情報セキュリティに関する技術的な助言を行う権限を有する者として、情報セキュリティアドバイザーを置き、総合情報センター長をもって充てる。
(情報セキュリティインシデント)
第15条 役職員は、情報セキュリティインシデントに関する不測の事態が発生した場合は、別に定める情報セキュリティ緊急対応図及び運用の取扱いに基づき迅速に対処するとともに、必要に応じてCISOへ報告するものとする。
2 CISOは、前項の報告を受けた場合において、必要があると認めたときは、第13条第3項に準ずる対策本部を設置し、これを指揮するものとする。
[第13条第3項]
(情報セキュリティ対策)
第16条 情報統合管理会議は、情報資産を保護するため、別に定める運用の取扱いに基づき、情報セキュリティ対策を講ずるものとする。
(教育研修)
第17条 情報統合管理会議は、役職員及び学生に対し、情報資産の取扱いについて理解を深め情報セキュリティに関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。
2 情報統合管理会議は、役職員及び学生以外の本学の情報資産を利用する者に対しても、必要に応じて前項の施策を講ずるものとする。
(監査)
第18条 情報統合管理会議は、情報セキュリティ対策が遵守されていることを検証するため、定期的に、又は臨時に監査を実施するものとし、その結果を学長及びCISOに報告するものとする。
2 監査に関する事項は運用の取扱いに定める。
(情報セキュリティ管理の評価)
第19条 情報統合管理会議は、前条における監査の結果等も踏まえながら、情報セキュリティ管理のレベルを評価し、その高度化を図るものとする。
(違反への対応)
第20条 本学の情報資産を利用する者が、故意又は重大な過失により、この規程に違反し、大学内外の情報セキュリティに対して重大な影響を与えた又は与えかねない悪質な行為をしたと認められた場合には、情報資産の利用が制限されるものとする。
2 前項の場合において、職員等については国立大学法人長岡技術科学大学職員就業規則等関係学内規則(以下「就業規則等」という。)、学生については国立大学法人長岡技術科学大学学則に基づき必要な措置を講ずる。
[国立大学法人長岡技術科学大学職員就業規則] [国立大学法人長岡技術科学大学学則]
3 第1項の場合において、役員については就業規則等に準じて取り扱う等、厳正に対処するものとする。
(雑則)
第21条 この規程に定めるもののほか、情報セキュリティ管理に関し必要な事項は、情報統合管理会議の議を経て、学長が別に定める。
附 則
この規程は、平成20年9月3日から施行する。
附 則(平成30年3月28日規程第14号)
この規程は、平成30年4月1日から施行する。
附 則(令和3年1月13日規程第8号)
この規程は、令和3年3月1日から施行する。
附 則(令和4年9月29日規程第5号)
この規程は、令和4年9月29日から施行し、令和4年4月1日から適用する。