東海国立大学機構情報セキュリティ対策基本規程

○東海国立大学機構情報セキュリティ対策基本規程

(令和6年6月19日機構規程第14号)

第1章　総則(第1条－第3条)

第2章　情報セキュリティ管理体制(第4条－第10条)

第3章　情報セキュリティ上の利用制限等(第11条－第16条)

第4章　情報格付け(第17条)

第5章　非常事態等への対応(第18条・第19条)

第6章　教育研修(第20条)

第7章　点検・評価(第21条・第22条)

第8章　雑則(第23条)

附則

第1章　総則

第1条　この規程は，東海国立大学機構（以下「機構」という。）における情報及び情報システムに係る情報セキュリティ対策について基本的な事項を定め，もって機構の保有する情報の保護及び活用並びに情報セキュリティ水準の適切な維持向上を図ることを目的とする。

第2条　この規程において，次の各号に掲げる用語の意義は，当該各号に定めるところによる。

一　情報システム　ハードウェア及びソフトウェアから成るシステムであって，情報処理又は通信の用に供するものをいい，機構が調達又は開発するもの（管理を委託しているシステムを含む。）をいう。

二　情報セキュリティ　情報の機密性，完全性及び可用性を維持することをいう。

三　職員等　機構の役員及び職員をいう。

四　外部電磁的記録媒体　情報システム外部の電磁的記録（電子的方式，磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって，電子計算機による情報処理の用に供されるものをいう。）に係る記録媒体をいう。

五　情報セキュリティインシデント　情報セキュリティに関し，意図的又は偶発的に生じる機構の規程等又は法律に違反する事故又は事件（その疑い又はおそれがある場合を含む。）をいう。

六　利用者　職員等及び学生等（機構が設置する国立大学（以下「大学」という。）の学生，生徒及び児童をいう。次号において同じ。）のうち必要な許可を得て機構の情報及び情報システムを利用する者をいう。

七　臨時利用者　職員等及び学生等以外の者で，必要な許可を得て機構の情報及び情報システムを利用する者をいう。

八　ポリシー　東海国立大学機構情報セキュリティ対策基本方針（令和6年6月19日役員会決定）及びこの規程をいう。

第3条　この規程は，機構の情報及び情報システムを運用，管理又は利用する全ての者に適用する。

2　この規程において適用対象とする情報は，次の各号のいずれかに該当するものとする。

一　職員等が職務上使用することを目的とした情報システム又は外部電磁的記録媒体に記録された情報（当該情報システム又は外部電磁的記録媒体から出力された書面に記載された情報及び書面から情報システム又は外部電磁的記録媒体に入力された情報を含む。）

二　情報システム又は外部電磁的記録媒体に記録された情報（当該情報システム又は外部電磁的記録媒体から出力された書面に記載された情報及び書面から情報システム又は外部電磁的記録媒体に入力された情報を含み，前号に掲げるものを除く。）であって，職員等が職務上取り扱う情報

三　前2号に掲げるもののほか，機構が調達又は開発した情報システムの設計又は運用管理に関する情報

3　この規程において適用対象とする情報システムは，前項各号に掲げる情報を取り扱う全ての情報システムとする。

第2章　情報セキュリティ管理体制

(最高情報セキュリティ責任者)

第4条　機構における情報の適切な管理を図り，機構の情報セキュリティ対策に責任を持つ者として，最高情報セキュリティ責任者（以下「CISO」という。）を置き，事務局長をもって充てる。

2　CISOは，次に掲げる業務を統括する。

一　情報セキュリティ対策推進のための組織及び体制の整備

二　情報セキュリティ対策基準の決定及び見直し

三　情報セキュリティ対策に係る計画の決定及び見直し

四　情報セキュリティインシデントに対処するために必要な指示その他の措置

五　その他情報セキュリティ対策に関する業務

(最高情報セキュリティ副責任者)

第5条　CISOの下に，最高情報セキュリティ副責任者（以下「副CISO」という。）を置き，事務局次長をもって充てる。

2　副CISO は，CISOを補佐し，CISOに事故がある場合は，CISOの職務を代行する。

(情報セキュリティインシデント対応チームの設置)

第6条　機構において発生した情報セキュリティインシデントに対処するため，機構に，情報セキュリティインシデント対応チーム（以下「CSIRT」という。）を置く。

2　CSIRTは，機構における情報セキュリティインシデントの報告窓口として，機構内の情報セキュリティインシデントに係る情報を受け付けるとともに，機構情報ネットワークの監視に係る情報を活用することにより，情報セキュリティインシデントに係る事象の正確な把握に努める。

3　CSIRTは，情報セキュリティインシデントの発生時において，必要に応じて被害の拡大防止及び復旧並びに再発の防止に係る技術的支援及び助言を行うものとする。

4　CISOは，CSIRTの円滑な業務の遂行のため，予算措置及び権限の委譲を含む環境を整備するものとする。

5　岐阜大学情報セキュリティ最高責任者及び名古屋大学最高情報セキュリティ責任者は，CSIRTと連携して，情報セキュリティインシデントの発生に備えた連絡，報告，情報集約及び被害拡大防止のための緊急対応に必要な体制を整備するものとする。

6　CSIRTに関し必要な事項は，別に定める。

(情報セキュリティアドバイザーの設置)

第7条　機構に，情報セキュリティに関する専門的な知識及び経験を有する者を情報セキュリティアドバイザーとして置くことができる。

2　情報セキュリティアドバイザーは，機構の情報セキュリティ対策に関する指導及び助言を行う。

(情報セキュリティ監査責任者)

第8条　機構に，情報セキュリティ監査責任者を置き，監査室長をもって充てる。

2　情報セキュリティ監査責任者は，情報セキュリティに係る監査を実施する。

(兼務の禁止)

第9条　情報セキュリティ対策の実施において，承認又は許可を受ける者は，その承認又は許可を行う者を兼ねることはできない。

2　情報セキュリティの監査を受ける者は，その監査を行う者を兼ねることはできない。

(統括本部会議)

第10条　情報セキュリティ対策に関する事項は，東海国立大学機構情報連携統括本部会議（以下「統括本部会議」という。）において審議する。

第3章　情報セキュリティ上の利用制限等

(利用者等の責務)

第11条　利用者及び臨時利用者は，情報セキュリティの確保及び水準の向上に努めなければならない。

2　前項を達成するための基準については，別に定める。

(機構外の情報セキュリティ水準の低下を招く行為の防止)

第12条　CISOは，機構外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずるものとする。

(利用制限等)

第13条　CISOは，ポリシーその他情報セキュリティに関係する規程等（以下「ポリシー等」という。）に違反した者に対し，機構の情報及び情報システムに係る運用及び利用の制限その他必要な措置を講ずることができるものとする。

(業務の外部委託)

第14条　CISOは，機構の情報及び情報システムに係る業務の全て又はその一部を委託する場合には，契約により委託先における責任管理体制等を明確にする等の情報セキュリティの保全が徹底されるよう努めなければならない。

(通信内容の取得)

第15条　CISOは，機構の情報セキュリティの保全のために必要な範囲で，機構の通信基盤における通信内容を取得すること及び機構以外の機関にその取得作業を委託することができる。

第16条　CISOは，ポリシー等の適用により，機構の業務の適正な遂行を著しく妨げる場合は，ポリシー等の定めにかかわらず，当該業務の遂行に必要な措置（以下「例外措置」という。）を講ずることができるものとする。

2　例外措置に関し必要な事項は，別に定める。

第4章　情報格付け

(情報の格付け等)

第17条　CISOは，機構が保有する情報について，機密性，完全性及び可用性に応じた格付け及び取扱制限に関する基準を策定するものとする。

2　機構における情報の格付け及び取扱制限に関し必要な事項は，別に定める。

第5章　非常事態等への対応

(情報セキュリティインシデント)

第18条　情報セキュリティインシデントが発生した場合の対応等に関し必要な事項は，別に定める。

(情報及び情報システムの利用制限)

第19条　CISO又は副CISOは，情報セキュリティインシデントが発生した場合又は発生を防止するために必要と認めた場合には，情報及び情報システムの利用を制限することができる。

2　CISOは，利用者又は臨時利用者が次の各号のいずれかに該当するときは，情報及び情報システムの利用を停止する等の必要な措置を講ずるものとする。

一　CISOからの具体的な命令又は注意喚起に従わないとき。

二　機構の情報セキュリティ水準を低下させると認められる行為を繰り返すとき。

三　機構の情報セキュリティの維持に必要な対策を怠ったとき。

第6章　教育研修

第20条　CISOは，事業年度ごとに，機構における情報セキュリティの確保及び水準の向上を目的とした教育研修について，計画を策定し，その実施のために必要な措置を講じなければならない。

第7章　点検・評価

第21条　情報セキュリティ監査責任者は，情報セキュリティの確保について検証するため，機構における情報セキュリティの状況について，定期及び随時に監査を行い，その結果をCISOに報告するものとする。

(点検・評価等)

第22条　CISOは，例外措置の状況，監査結果，情報セキュリティインシデントの発生状況等について点検又は評価するものとする。

2　CISOは，前項の点検又は評価を踏まえ，ポリシー等の改正の必要性について検討し，少なくとも毎年度1回，統括本部会議に意見を述べるものとする。

第8章　雑則

第23条　この規程に定めるもののほか，機構における情報セキュリティ対策に関し必要な事項は，別に定める。

2　大学における情報セキュリティ対策については，ポリシーのほか，大学の定めるところによる。

この規程は，令和6年6月19日から施行する。