○国立大学法人琉球大学情報格付け及び取扱制限の指定並びに明示等に関する基準
| (令和5年7月18日制定) |
|
(趣旨)
第1条 この基準は、国立大学法人琉球大学情報システム運用基本規程(以下「基本規程」という。)第16条の規定に基づき、国立大学法人琉球大学(以下「本法人」という。)が保有する情報に対し、格付け及びそれに基づく取扱制限の指定並びに明示等を行うことについて必要な事項を定めるものとする。
(情報の範囲と対象者)
第2条 この基準で扱う情報は、情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報、情報システムに関係がある書面に記載された情報とし、情報を取り扱う全ての本法人に勤務する役員及び職員(以下「職員等」という。)を対象とする。
(定義)
第3条 この基準において、用語の定義は、次のとおりとする。
(1) 「情報システム」とは、基本規程第3条第1号に定められたものをいう。
(2) 「格付け」とは、情報の重要性を機密性、完全性及び可用性の観点から取扱制限の指定、明示等を行うことをいう。
(3) 「機密性」とは、情報に関して、アクセス(閲覧)を認められた者だけがこれにアクセス(閲覧)できる特性をいう。
(4) 「完全性」とは、情報が破壊、改ざん又は消去されていない特性をいう。
(5) 「可用性」とは、情報へのアクセス(閲覧)を認められた者が、必要時に中断することなく、情報にアクセス(閲覧)できる特性をいう。
(6) 「取扱制限」とは、情報の取扱いに関する制限であって、複製禁止、配布禁止、転送禁止、暗号化必須、その他の情報の適正な取扱いを利用者等に確実に行わせるための手段をいう。
(7) 「明示等」とは、情報を取り扱う職員等が、情報の格付けについて、共通の認識を持つことができるように行う表示、記述、その他の記載などをすることをいう。
(格付けの区分及び分類の基準)
第4条 情報の格付けの区分及び分類の基準は、機密性、完全性及び可用性について、それぞれ以下のとおりとする。
(1) 機密性
| 格付けの区分
| 分類の基準
|
| 機密性4情報
(担当者外秘情報) | 秘密保全の必要性が高く、その漏えい等により個人等の権利、秘密及び財産を侵害する又は名誉及び信用を損なうおそれのある情報、又は本法人の安全及び利益に損害を与えるおそれがある情報
|
| 機密性3情報
(関係者外秘情報) | 機密性4に相当する機密性は要しないが、その漏えい等により本法人及び他者の権利を侵害する又は本法人の活動の遂行に支障を及ぼすおそれがある情報
|
| 機密性2情報
(学内限定情報) | 非公開情報のうち、機密性3以上に相当する機密性は要せず、その漏えい等により本法人の活動の遂行に支障を及ぼす可能性が低い情報
|
| 機密性1情報
(公開情報) | 公開している、又は公開しても差し支えない情報
|
| なお、機密性3情報及び機密性4情報を「要機密情報」という。
|
|
(2) 完全性
| 格付けの区分
| 分類の基準
|
| 完全性2情報
| 本法人で取り扱う情報のうち、改ざん、誤びゅう又は破損により、利用者の権利が侵害され又は本法人活動の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報
|
| 完全性1情報
| 完全性2情報以外の情報 |
| なお、完全性2情報を「要保全情報」という。
|
|
(3) 可用性
| 格付けの区分
| 分類の基準
|
| 可用性2情報
| 本法人で取り扱う情報のうち、その滅失、紛失又は当該情報が利用不可能であることにより、利用者の権利が侵害され又は本法人活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報をいう。
|
| 可用性1情報
| 可用性2情報以外の情報 |
| なお、可用性2情報を「要安定情報」という。また、要機密情報、要保全情報及び要安定情報を「要保護情報」という。
|
|
(取扱制限の種類及び指定方法)
第5条 情報の取扱制限の種類及び指定方法は、機密性、完全性、可用性について、それぞれ以下のとおりとする。
(1) 機密性
| 取扱制限の種類
| 指定方法
|
| 複製
| 複製禁止、複製要許可
|
| 配付
| 配付禁止、配付要許可
|
| 暗号化
| 暗号化必須、保存時暗号化必須、通信時暗号化必須
|
| 印刷
| 印刷禁止、印刷要許可
|
| 転記
| 転記禁止、転記要許可
|
| 再利用
| 再利用禁止、再利用要許可
|
| 送信・転送
| 送信禁止、送信要許可、転送禁止、転送要許可
|
| 参照者の制限 | ○○限り(「部局内限り」「委員会出席者限り」など)
|
| 書換え | 書換え禁止、書換え要許可 |
| 保存場所 | オフライン機器、学内ファイルサーバ、○○○システムにて保存、施錠されたキャビネット・書庫等に保管、事務室内PCに保存、指定箇所限り |
(2) 完全性
| 取扱制限の種類
| 指定方法
|
| 保存期間
| ○○まで保存
|
| 保存場所
| ○○において保存
|
| 書換え
| 書換禁止、書換要許可
|
| 削除
| 削除禁止、削除要許可
|
| 保存期間満了後の措置 | 保存期間満了後要廃棄
|
(3) 可用性
| 取扱制限の種類
| 指定方法
|
| 復旧までに許容できる時間
| ○○以内復旧
|
| 保存場所
| ○○において保存
|
(指定)
第6条 職員等は、情報の作成時又は情報を入手し、その管理を開始する時に、別表1及び別表3(以下、「標準的格付け基準」という。)を基に、当該情報に対して格付け及び取扱制限を指定するものとする。なお、必要に応じて、「標準的格付け基準」よりも厳格な格付け及び取扱制限を指定することを妨げるものではない。
また、標準的格付け基準を下回る指定としたい特段の事情がある場合には、部局等総括責任者から最高情報セキュリティ責任者へ事前に届け出て許可を得るものとする。
2 完全性及び可用性については、別表2の「完全性2、可用性2」を標準として取り扱う。
[別表2]
(明示等)
第7条 職員等は、情報の格付け及び取扱制限を指定した場合には、それを認識できるよう次の各号に掲げる方法により明示等を行う。
(1) 電磁的記録として取り扱う情報に明示する場合
ア 文書のヘッダ部分又は情報の内容に直接記載
イ ファイル等の取扱単位ごとにファイル名自体に記載
ウ フォルダ単位等で取り扱う情報は、フォルダ名に記載
エ 電子メールで取り扱う情報は、メール本文又はメールの件名に記載
オ 情報システムで取り扱う情報は、それに記録される情報の格付けを規定等で明記し、利用する全ての者に当該規定を周知
(2) 外部電磁的記録媒体に保存して取り扱う情報に明示する場合
ア 保存するファイル又は文書等の単位ごとに記載
イ 記録媒体本体に記載
(3) 情報システムから出力することが想定される情報に明示する場合
ア 文書のヘッダ部分等に記載
イ 冊子等の単位で取り扱う場合は、冊子の表紙又は裏表紙等に記載
(4) 既に書面として存在している情報で情報システムに登録する情報に明示する場合
ア 手書きによる記入
イ スタンプ等による押印
(明示等の省略)
第8条 職員等は、機密性1情報を取り扱う場合は、情報の格付け及び取扱制限の明示等を省略することができる。
2 職員等は、別表1に基づいて取り扱う場合は、取扱制限の明示等を省略することができる。
[別表1]
3 職員等は、取り扱う情報の完全性又は可用性について、第6条第2項に基づいて取り扱う場合には、明示等を省略することができる。
[第6条第2項]
(継承)
第9条 職員等は、情報を作成する際に、参照した情報又は入手した情報が既に格付け又は取扱制限の決定がなされている場合には、元となる格付け及び取扱制限を継承する。ただし、各情報を集約した統計データ等、元の情報を辿れないことが明らかである情報を作成する場合は、この限りでない。
(見直し)
第10条 職員等は、情報の修正、追加、削除、時間経過等により、必要があると認めた場合には、第6条の例により、当該情報に対して格付け及び取扱制限の見直しを行うものとする。
[第6条]
2 時期に応じた変更の必要性が事前に明らかである情報の格付け及び取扱制限については、その時期を付して、見直し内容をあらかじめ指定することができる。
(法人文書の扱い)
第11条 国立大学法人琉球大学法人文書管理規程に規定する法人文書に該当する情報の場合、当該情報の格付け、取扱制限、管理方法等は、この基準に定めるもののほか、同規程及び国立大学法人琉球大学法人文書ファイル保存要領の定めるところによる。
(個人情報の扱い)
第12条 国立大学法人琉球大学保有個人情報等管理規則に規定する個人情報に該当する場合、当該情報の格付け、取扱制限、管理方法等は、この基準に定めるもののほか、同規則の定めるところによる。
(雑則)
第13条 この基準に定めるもののほか、情報の格付け及び取扱制限に関し必要な事項は、最高情報セキュリティ責任者が別に定める。
(改廃)
第14条 この基準の改廃は、全学情報システム運用委員会の議を経て、最高情報セキュリティ責任者が行う。
附 則
1 この基準は、令和5年10月1日から施行する。
2 国立大学法人琉球大学情報格付け基準(平成24年2月14日制定)および情報格付け取扱手順(平成25年2月7日制定)は、廃止する。
附 則(令和6年7月17日)
|
|
この基準は、令和6年7月17日から施行し、令和6年4月1日から適用する。
別表1(第6条第2項第1号関係)
機密性についての格付けに応じた取扱制限の標準
| 取扱制限 | 機密性4情報 | 機密性3情報 | 機密性2情報 | 機密性1情報 |
| 複製 | 要許可 | 要許可 | ― | ― |
| 配布 | 要許可かつ
範囲指定 | 要許可かつ
範囲指定 | 範囲指定 | ― |
| 暗号化 | 必須 | 必須 | ― | ― |
| 印刷 | 要許可 | 要許可 | ― | ― |
| 転記 | 要許可 | 要許可 | ― | ― |
| 再利用 | 要許可 | 要許可 | ― | ― |
| 送信・転送 | 要許可 | 要許可 | ― | ― |
| 参照者の制限 | 担当者限り | 関係者限り | 学内限り | ― |
| 書換え | 要許可 | 要許可 | ― | ― |
| 保存場所 | インターネットから隔離された情報システム※1 | 職員等のみがアクセス可能な情報システム※2 | ― | ― |
| ※1セキュリティ装置などでインターネットから隔離された情報システム又は機器に保管し、必要最小限の者のみがアクセス可能かつ、暗号化された状態であること。 | ||||
| ※2職員等のみがアクセスできる情報システムで、必要最小限の者のみがアクセス可能かつ、暗号化された状態であること。 | ||||
| ※許可が必要となる場合については、部局等総括責任者又は当該責任者から委任を受けた者の許可を得て取り扱わなければならない。 | ||||
| ※ ハイフン(―)は、取扱いの標準を設定しないことを示す。 | ||||
別表2(第6条第2項第2号関係)
完全性・可用性についての格付けに応じた取扱制限の標準
| 格付けの区分 | 取扱制限 | |
| 完全性 | 完全性2情報 | 書換え要許可 |
| 完全性1情報 | ― | |
| 可用性 | 可用性2情報 | 復旧までに許容できる標準時間3日以内(土日祝日を除く) |
| 可用性1情報 | ― | |
| ※許可が必要となる場合については、部局等総括責任者又は当該責任者から委任を受けた者の許可を得て取り扱わなければならない。 | ||
| ※ ハイフン(―)は、取扱いの標準を設定しないことを示す。 | ||
別表3(第6条第2項第3号関係)
類型による情報格付けの標準例
| 格付けの区分 | 類型 |
| 機密性4情報 | 1. 要配慮個人情報(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報。)
2. 個人情報のうち、個人識別符号を含む個人情報及び特定個人情報(マイナンバーをその内容に含む個人情報) 3. 実施前の各種試験問題作成に関する情報 4. 産業競争力及び安全保障上の観点から、漏えい等により、法的な問題を生じるおそれのある未公開の研究情報 5. その他、担当者限りに取扱制限をすることが相応しい情報 6. 上記各項目を扱う情報システムの関連情報(ID、パスワード、情報セキュリティ情報など) |
| 機密性3情報 | 1. 個人情報のうち機密性4情報に相当する機密性は要しないが、その漏えい等により個人の権利が侵害される情報
2. 受験生・学生の成績関連情報 3. 入学料・授業料等減免関連情報 4. 知的財産権等 、未公開の研究情報 5. その他、関係者限りに取扱制限をすることが相応しい情報 6. 上記各項目を扱う情報システムの関連情報(ID、パスワード、情報セキュリティ情報など) |
| 機密性2情報 | 1. 個人情報のうち、その職及び職務遂行の内容に係る情報
2. 公開を前提としない情報 3. 公開前会議資料 4. 未公開の研究情報 5. その他、取扱制限をすることが相応しい情報 |
| 機密性1情報 | 1. 大学案内
2. ホームページ掲載関連情報 3. 大学広報誌 4. 受験案内 5. 学生募集要項 6. 統計資料 7. 実績報告書 8. 公開済みの研究情報 9. 個人情報のうち、慣行として公にされ、又は公にすることが予定されている情報 10. その他、公開することが前提となっている情報 |