奈良国立大学機構情報システム利用規程

○奈良国立大学機構情報システム利用規程

(令和4年4月1日機構規程第26号)

第1条　この規程は、奈良国立大学機構(以下「機構」という。)における情報システムの利用に関する事項を定め、情報セキュリティの確保及びネットワークの適正な利用に資することを目的とする。

第2条　この規程は、機構が管理する情報システムを利用するすべての者に適用する。

2　この規程は、情報システムの利用が機構本部及び機構が設置する国立大学(以下「大学」という。)の敷地内でなされたか否を問わず適用される。

第3条　この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　情報システム利用　システム及びインターネットを含む情報ネットワークシステムを利用する行為をいう。

(2)　アカウント　機構の情報システムの利用に当たり用いるID等をいう。

2　前項に規定するものほか、この規程において使用する用語の意義は、奈良国立大学機構情報セキュリティポリシー(以下「ポリシー」という。)の定めるところによる。

(利用者の資格)

第4条　情報システムを利用することができる者は、ポリシー第3条第1項第十二号に掲げる利用者とする。

[第3条第1項]

(学外者の利用)

第5条　前条に規定する者以外の者(以下「学外者」という。)が情報システムの利用を希望するときは、次に掲げる要件のすべてに該当する場合に限り、利用を承認することがある。

(1)　学術研究のための利用であること。

(2)　ネットワークに接続しなければならない事由があること。

(3)　情報セキュリティインシデント発生時の対応責任者が明確であること。

(4)　情報セキュリティインシデント発生時において、その対応に必要な費用及び作業を負担すること。

(5)　使用機器の情報セキュリティを維持できること。

(6)　情報セキュリティに関する知識の習得及び向上を行うこと。

第6条　情報システムを利用しようとする者は、利用の申請を行い、情報化統括責任者(以下「CIO」という。)の承認を得なければならない。

(利用の承認)

第7条　CIOは、前条の利用申請に基づき、情報システムの利用を承認したときは、アカウントを付与して申請者に通知するものとする。

(利用の変更等)

第8条　前条の規定により承認された利用者は、利用申請の内容に変更があったときは、速やかにCIOに届け出なければならない。

(機器の接続)

第9条　利用者は、機構の情報ネットワークに機器を接続しようとするときは、CIOに申請を行いその承認を得なければならない。

(情報セキュリティ対策教育の受講義務)

第10条　利用者は、機構が実施する情報セキュリティに関する教育を受講しなければならない。

2　利用者は、前項の教育を受講できず、その理由が本人の責に因らないと思われる場合には、その理由についてCIOに報告しなければならない。

3　利用者は、機構が実施する情報セキュリティ対策の訓練に参加しなければならない。

第11条　情報システムについて次に掲げる行為を行う場合には、CIOの許可を得なければならない。

(1)　ファイルの自動公衆送信機能を持ったP2Pソフトウェアを教育・研究目的で利用する場合

(2)　教育・研究目的で不正ソフトウェア類似のコードやセキュリティホール実証コードを作成、所持、使用又は配布する場合

(3)　ネットワーク上の通信を監視する場合

(4)　機構の情報機器の利用情報を取得する行為及び情報システムのセキュリティ上の脆弱性を検知する場合

(5)　情報システムの機能を著しく改変する可能性のあるシステムの更新等を行う場合

第12条　利用者は、情報システムについて、次に掲げる行為を行ってはならない。

(1)　情報システム又は情報を、定められた目的以外に利用すること。

(2)　指定以外の方法により情報システムへ接続すること。

(3)　あらかじめ指定された情報システム以外の情報システムを、利用者以外の者に利用させること。

(4)　守秘義務に違反すること。

(5)　差別、名誉毀損、侮辱又はハラスメントにあたること。

(6)　個人情報又はプライバシーを侵害すること。

(7)　前条第1項第二号に該当しない不正ソフトウェアを作成、所持又は配布すること。

(8)　著作権等の知的所有権を侵害すること。

(9)　通信の秘密を侵害すること。

(10)　営利を目的として機構の情報システムを利用すること。ただし、CIOがその利用を認めた場合は、この限りではない。

(11)　不正アクセス行為の禁止等に関する法律(平成11年法律第128号)に反すること、又はこれに類すること。

(12)　情報システムの正常運営に支障を来す利用

(13)　その他公序良俗に反すること。

(14)　前各号に規定する行為を助長すること。

(違反行為等に対する措置)

第13条　CIOは、前条に違反する行為(不作為を含む。)に対し次の措置を講じることができる。

(1)　情報資産の利用資格の取消、一時的停止又は変更

(2)　アカウントの停止又は変更

(3)　接続機器の切り離し又は一時的若しくは永続的な使用停止

(4)　違反行為に使用され、又は違反行為の結果として生じたファイル、データ及びプログラム等の保全及び提出、削除又はこれらへのアクセス制限

(5)　その他の指導措置

(利用者の自己管理)

第14条　利用者は、次に掲げる事態の発生を考慮し、情報のバックアップ、ウイルス対策及び修正プログラムの適用等、並びに情報機器の紛失防止対策等、自己の責任において適宜実行するものとする。

(1)　情報システム障害による情報の消失

(2)　ウイルス感染等による情報の消失、漏洩等

(3)　ウイルス感染等による、スパムメール不正中継を含む外部への不正な情報発信、不正なアクセス等

(4)　情報機器の盗難又は紛失

(機器の使用停止)

第15条　CIOは、機器の不正使用等、使用状況に応じて必要と認めた場合には、使用停止等の措置を講じることができる。

(情報セキュリティインシデント発生時の対応)

第16条　利用者は、ネットワークの利用中に情報セキュリティインシデントが発生したときは、速やかに奈良国立大学機構CSIRTに報告し、その指示に従い、必要な措置を講じなければならない。

(大学における取扱い)

第17条　大学の情報システムの利用に当たっては、本規程に定めるもののほか、大学が別途定める規定により取り扱うものとする。

第18条　この規程に定めるもののほか、情報システムの利用に関し必要な事項は、CIOが別に定める。

この規程は、令和4年4月1日から施行する。