○奈良国立大学機構情報セキュリティポリシー
| (令和4年4月1日機構規程第23号) |
|
第1章 情報セキュリティ対策基本方針
(目的)
第1条 奈良国立大学機構(以下「機構」という。)は、奈良教育大学学則(平成16年規則第1号)第1条及び奈良女子大学学則(平成16年度女子大学則第1号)第1条の目的を実現するため、機構で扱う情報及び情報システムを対象に情報セキュリティ対策を実施する。
(方針)
第2条 前条の目的を達成するため、本ポリシー及び奈良国立大学機構情報システム運用・管理規程(令和4年度機構規程第25号。以下「運用・管理規程」という。)に規定するもののほか、機構及び機構が設置する国立大学(以下「大学」という。)の規程等の定めるところにより、以下の対策を行う。
(1) 情報セキュリティ対策の実施体制の整備
(2) 情報及び情報システムの保護
(3) 情報システム及び情報サービスの管理・運用
(4) 情報セキュリティインシデントへの対処
(5) 利用者への啓発・教育
(6) 前各号に掲げるものを含む情報セキュリティマネジメントの実施
(定義)
第3条 本ポリシー及び本ポリシーに基づく関連規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 情報システム 情報処理及び情報ネットワークに係わるシステムで、次のものをいう。
ア 機構が所有し、又は管理しているもの
イ 機構との契約又は協定に従って提供されるもの
ウ ア及びイ以外で機構の情報ネットワークに接続を許可されたもの
(2) 情報 情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報及び情報システムに関係がある書面に記載された情報をいう。
(3) 事務情報 情報のうち次のものをいう。
ア 奈良国立大学機構法人文書管理規程(令和4年度機構規程第32号)の対象となる法人文書
イ 事務の遂行を目的として電磁的に作成された法人文書
ウ ア及びイ以外の法人文書又は法人文書データで、事務局長が指定した文書及びデータ
(4) 事務情報システム 事務の遂行を目的として、事務情報を扱う情報システムをいう。
(5) 情報資産(電子・電磁的なもの) 機構の情報システム、情報ネットワークに接続された情報ネットワーク機器及び電子計算機並びにそこで取り扱われる情報をいう。
(6) 実施規程 本ポリシーに基づいて策定される規程、手順及び計画をいう。
(7) 手順 実施規程に基づいて策定される具体的な手順、マニュアル及びガイドラインをいう。
(8) 大学 国立大学法人奈良国立大学機構組織運営通則(令和4年度機構通則第1号。以下「通則」という。)第2条第2項に規定する機構が設置する国立大学をいう。
(9) 附属学校 奈良教育大学学則第23条及び奈良女子大学組織運営規程(令和4年度女子大規程第1号)第13条に規定する附属学校をいう。
(10) 教職員等 機構の役員、機構に勤務する常勤又は非常勤の職員(派遣職員を含む)その他理事長が認めたものをいう。
(11) 学生等 奈良教育大学学則及び奈良女子大学学則に規定する大学の学部学生、大学院学生、附属学校の生徒・児童、研究生、研究員、研修員、研究者等その他理事長が認めた者をいう。
(12) 利用者 教職員等又は学生等及び前述以外の者で、機構の許可を得て情報システムを利用する者をいう。
(13) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(14) 電磁的記録 電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによる情報処理の用に供されるものをいう。
(15) 情報セキュリティインシデント 情報セキュリティに関し、意図的又は偶発的に生じる、機構若しくは大学の規程又は法律に反する事故、事件又は事故に繋がりかねない事案をいう。
(16) 明示等 情報を取扱うすべての者が当該情報の格付けについて共通の認識となるように措置することをいう。
(適用範囲)
第4条 本ポリシーにおいて適用対象とする者は、機構の情報システムを利用するすべての者とする。
(義務)
第5条 機構の情報及び情報システムを利用する者並びに運用管理の業務に携わる者は、本ポリシー及び運用・管理規程その他の規程等を遵守しなければならない。
(罰則)
第6条 本ポリシーに沿って定められる規程等に違反した場合の利用の制限及び罰則は、機構規則その他関連規程の定めるところによる。
第2章 情報セキュリティ対策基本規程
(情報化統括責任者)
第7条 機構の情報システム運用責任者として、機構に情報化統括責任者(以下「CIO」という)を置き、理事(総務・財務担当)をもって充てる。
2 CIOは、最高情報セキュリティ責任者(以下「CISO」という。)として、情報セキュリティ対策の円滑な運用を統括し、本ポリシー及び関連規程の決定並びに情報セキュリティにおける各種問題に対応する。
3 CIOに事故のあるときは、次条の副CIOがその職務を代行する。
4 CIOは、CISOとして情報基盤として供される情報システムのうち情報セキュリティが侵害された場合に影響が特に大きいと評価される情報システムを指定することができる。
5 CIOは、CISOとして情報セキュリティ教育を統括する。
6 CIOは、CISOとして情報セキュリティに関する専門的な知識及び経験を有した最高情報セキュリティアドバイザー(以下「CISA」という。)を置くことができる。
(副情報化統括責任者)
第8条 機構に副情報化統括責任者(以下「副CIO」という。)を置き、次に掲げる者をもって充てる。
(1) 奈良教育大学副学長(研究担当)
(2) 奈良女子大学副学長(情報・博士/若手研究者育成担当)
2 副CIOは、CIOの指示により、大学情報システムのポリシー及び関連規程並びに手順等を整備する。
3 副CIOは、最高情報セキュリティ責任者補佐(以下「CISOA」という。)として、大学情報システムのセキュリティに関する連絡及び通報において各大学を代表する。
4 副CIOに事故のあるときは、CIOがあらかじめ指名した者が、その職務を代行する。
(情報化統括責任者補佐)
第9条 機構に情報化統括責任者補佐(以下「CIO補佐」という。)を置き、情報課長をもって充てる。
2 CIO補佐は、CIOの指示により、機構情報システムのポリシー及び関連規程並びに手順等を整備する。
3 CIO補佐は、CISOAとして、情報システムのセキュリティに関する連絡と通報において機構事務局を代表する。
4 CIO補佐に事故のあるときは、CIOがあらかじめ指名した者が、その職務を代行する。
(情報化責任者)
第10条 機構本部及び大学に情報化責任者(以下「IO」という。)を置く。
2 IOは、機構本部にあっては通則第13条第1項に規定する各センター及び奈良国立大学機構事務組織規程(令和4年度機構規程第16号)第2条に規定する部局ごと、大学にあっては奈良教育大学セキュリティポリシー(平成19年規則第40号)に規定する部門及び奈良女子大学組織運営規程第35条に規定する部局ごとに置く。
3 機構のIOは、次の各号に掲げる区分に応じ、当該各号に定める者とする。
(1) 奈良国立大学機構事務組織規程第2条に規定する事務組織 事務局長
(2) 通則第13条第1項に規定する各センター 各センター長
4 大学のIOは、各大学が定める規程に基づき、CIOが定める。
5 IOは、当該部局における情報システム上の各種問題に対する措置を実施する。
6 IOは、前項に定める措置を実施するに当たり、関係するシステム管理者等へ指示又は依頼することができる。
(情報セキュリティ監査責任者)
第11条 機構に情報セキュリティ監査責任者を置き、CIOが指名する者をもって充てる。
(情報セキュリティインシデント対応チーム)
第12条 機構の情報セキュリティインシデントの発生時に迅速かつ円滑な対応を図るため情報セキュリティインシデント対応チーム(以下「CSIRT」という。)を置く。
2 CSIRTに関し必要な事項は、別に定める。
(情報システム委員会)
第13条 情報システムの円滑な運用のための最終意思決定機関として、機構に情報システム委員会を置く。
2 情報システム委員会に関し必要な事項は、別に定める。
(役割の分離)
第14条 情報セキュリティ対策の運用において、次に掲げる役割を同じ者が兼務しないものとする。
(1) 承認又は許可事案の申請者とその承認又は許可を行う者(以下「承認権限者等」という。)
(2) 監査を受ける者とその監査を実施する者
2 前項にかかわらず、教職員等は、承認権限者等が有する職務上の権限等から、当該承認権限者等が承認又は許可(以下「承認等」という。)の可否の判断を行うことが不適当と認められる場合には、当該承認権限者等の上司に承認等の申請をする。この場合において、当該承認権限者等の上司の承認等を得たときは、当該承認権限者等の承認等を得ることを要しない。
3 教職員等は、前項の場合において承認等を与えたときは、承認権限者等に係る遵守事項に準じて、措置を講ずる。
(情報の格付け)
第15条 CIOは、情報システムで取扱う情報について、電磁的記録については機密性、完全性及び可用性の観点から、書面については機密性の観点から当該情報の格付け及び取扱制限の指定並びに明示等の規程を整備する。
(機構外の情報セキュリティ水準の低下を招く行為の防止)
第16条 CIOは、機構外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規程を整備する。
2 情報システムを運用・管理する者又は利用者は、原則として、機構外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずる。
(情報セキュリティ監査)
第17条 情報セキュリティ監査責任者は、情報セキュリティ監査計画を策定する。
2 情報セキュリティ監査責任者が、機構におけるポリシー及び対策状況に係る監査を行い、その結果をCIOに通知するものとする。
(評価および見直し)
第18条 CIOは、機構の状況を定期的に評価し、見直しを行う。
2 CIOは、評価した結果を基に健全な機構運営及び情報セキュリティを維持するための適切な措置を講じるものとする。
第3章 外部委託における情報セキュリティ対策基準
(外部委託の範囲)
第19条 業務を委託する者は、以下の各号の業務において、外部委託を実施することができるものとする。
(1) 情報システムの構築及び開発
(2) 情報システムの運用、保守及び点検
(3) 情報の加工及び処理
(4) 情報の保存及び運搬
(業務委託事業者の選定基準等)
第20条 業務を委託する者は、業務委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
2 業務を委託する者は、情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして事業者を選定しなければならない。
3 業務を委託する者は、クラウドサービスを利用する場合は、ISMAP 等を参考とし当該サービスで取り扱う情報の機密性に応じたセキュリティレベルが確保されているサービスを利用しなければならない。
4 当該委託に個人情報又は特定個人情報が含まれている場合は「奈良国立大学機構個人情報管理規程」及び「奈良国立大学機構特定個人情報等取扱規程」を遵守できるものでなければならない。
5 業務を委託する者は、情報システムの運用、保守等を業務委託する場合には、業務委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約が締結されるようにしなければならない。
(1) 本ポリシー及び関連規程の遵守
(2) 業務委託事業者における情報セキュリティ対策の実施内容及び管理体制
(3) 委託事業の実施に当たり、委託先企業若しくはその従業員、再委託先又はその他の者によって、機構の意図せざる変更が加えられないための管理体制
(4) 業務委託事業者の資本関係・役員等の情報、業務委託事業の責任者及び委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報、委託内容、委託事業の実施場所・作業場所の特定
(5) 提供されるサービスレベルの保証
(6) 業務委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法
(7) 業務委託事業者の従業員に対する教育の実施
(8) 提供された情報の目的外利用及び受託者以外の者への提供の禁止
(9) 業務上知り得た情報の守秘義務
(10) 再委託に関する制限事項の遵守
(11) 委託業務終了時の情報資産の返還、廃棄等
(12) 委託業務の定期報告及び緊急時報告義務
(13) 委託業務事業者の情報セキュリティインシデントへの対処方法
(14) 委託業務事業者の情報セキュリティ対策その他の契約の履行状況の確認方法、情報セキュリティ対策の履行が不十分な場合の対処方法
(15) 機構による監査、検査の受け入れ
(16) 機構による情報セキュリティインシデント発生時の公表
6 業務を委託する者は、業務委託事業者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、上記契約項目の措置の実施を業務委託事業者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を機構に提供し、機構の承認を受けるよう、仕様内容に含めること。また、業務委託事業者の選定基準及び委託先の選定基準に従って再委託の承認の可否を判断すること。
7 業務を委託する者は、業務委託事業者において、以下に掲げる点を、機密性2の情報資産については必要に応じて、機密性3の情報資産については必ず、 定期的に確認し、必要に応じて前記契約項目の契約に基づき措置するとともに、その内容を所属長に報告しなければならない。また、報告内容の重要度を鑑み、必要に応じて副 CISO に報告しなければならない。
(1) 契約に基づき、委託先における情報セキュリティ対策の履行状況を確認すること。
(2) 委託した業務において、情報の目的外利用等情報セキュリティインシデントの発生を認知した場合又はその旨の報告を教職員等より受けた場合は、委託事業を一時中断するなどの必要な措置を講じた上で、契約に基づく対処を委託先に講じさせること。
(3) 委託した業務の終了時に、委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
8 教職員等は、委託先への情報の提供等において、以下の事項を遵守すること。
(1) 委託先に要保護情報を提供する場合は、提供する情報を必要最小限とし、あらかじめ定められた安全な受渡し方法により提供すること。
(2) 提供した要保護情報が委託先において不要になった場合は、これを確実に返却又は抹消させること。
(3) 委託業務において、情報の目的外利用等情報セキュリティインシデントを認知した場合は、速やかに奈良国立大学機構CSIRT、所属長及びシステム管理者に報告すること。
(約款による外部サービスの利用)
第21条 教職員等は、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認し、適切な措置を講じた上で、約款による外部サービスを利用できるものとする。ただし、要保護情報を取り扱う場合は、あらかじめ所属長に報告しなければならない。
2 教職員等は、約款による外部サービスを利用する場合は、サービスの利用ごとに責任者を定めるものとする。ただし、要保護情報を取り扱 う場合は、所属長が責任者を定めるものとする。
3 前項の責任者は、以下の事項に注意して運用するものとする。
(1) サービス機能の設定に関する定期的な確認
(2) 情報の滅失、破壊等に備えたバックアップの取得
(3) 利用者への注意喚起
(クラウドサービス利用における対策)
第22条 業務を委託する者は、クラウドサービスを利用するに当たり、以下の事項の対策を行うものとする。
(1) 取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いをゆだねることの可否を判断すること。
(2) クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法・裁判管轄を指定するものとする。
(3) クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とするものとする。
(4) クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めるものとする。
(5) クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。
(6) 機構ネットワークの外に向けてサービスを提供するウェブサイトが機構提供のものであることを利用者が確認できるように、機構ドメインを使用できない場合を除き、原則として機構が取得したドメイン名を情報システムにおいて使用すること。また、機構ネットワークの外に向けてサービスを提供するウェブサイトの作成を業務委託する場合においては、機構に適するドメイン名を使用するよう調達仕様に含めること。
(雑則)
第23条 本ポリシーに規定するもののほか、情報システムの運用及び情報セキュリティ対策に関し必要な事項は、別に定める。
附 則
このポリシーは、令和4年4月1日から施行する。
附 則(令和6年3月29日機構規程第23号)
|
|
このポリシーは、令和6年3月29日から施行する。
附 則(令和6年4月1日機構規程第27号)
|
|
このポリシーは、令和6年4月1日から施行する。
附 則(令和7年2月21日機構規程第44号)
|
|
このポリシーは、令和7年4月1日から施行する。
附 則(令和7年3月24日機構規程第47号)
|
|
この規程は、令和7年4月1日から施行する。