明治大学情報セキュリティ対策基準

２０２５年３月１９日制定

第１章総則
第２章導入・計画
第３章運用
第４章点検
第５章見直し
第６章情報の取扱い
第７章業務委託
第８章外部サービスの利用
第９章情報システムに係る文書等の整備
第１０章情報システムのライフサイクルの各段階における対策
第１１章情報システムの運用継続計画
第１２章情報システムのセキュリティ機能
第１３章情報セキュリティの脅威への対策
第１４章アプリケーション・コンテンツの作成・提供
第１５章端末・サーバ装置等
第１６章電子メール・ウェブ等
第１７章通信回線
第１８章情報システムの利用

第１章総則

第１条（趣旨）

この基準は、「明治大学情報セキュリティポリシー」に基づき、明治大学（以下「本学」という。）における適切な情報セキュリティ対策に関する基準について必要な事項を定めるものとする。

第２条（適用範囲）

この基準において適用対象とする範囲は、「明治大学情報セキュリティポリシー」「Ⅰ 情報セキュリティ基本方針３対象範囲及び対象者」のとおりとする。

第３条（定義）

この基準において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

（１）　可用性　情報へのアクセスを認められた者が、必要時に中断することなく、情報にアクセスできる特性をいう。可用性についての格付の区分は、「可用性１情報」「可用性２情報」とし、詳細は「情報の格付け及び取扱制限に関する要綱」に定める。

（２）　完全性　情報が破壊、改ざん又は消去されていない特性をいう。完全性についての格付の区分は、「完全性１情報」「完全性２情報」とし、詳細は「情報の格付け及び取扱制限に関する要綱」に定める。

（３）　機密性　情報に関して、アクセスを認められた者だけがこれにアクセスできる特性をいう。機密性についての格付の区分は、「機密性１情報」「機密性２情報」「機密性３情報」とし、詳細は「情報の格付け及び取扱制限に関する要綱」に定める。

（４）　識別コード　主体を識別するために、情報システムが認識するコード（符号）をいう。代表的な識別コードとして、ユーザIDが挙げられる。

（５）　主体　情報システムにアクセスする者又は他の情報システムにアクセスするサーバ装置、端末等をいう。

（６）　主体認証　識別コードを提示した主体が、その識別コードを付与された主体、すなわち正当な主体であるか否かを検証することをいう。識別コードとともに正しい方法で主体認証情報が提示された場合に主体認証ができたものとして、情報システムはそれらを提示した主体を正当な主体として認識する。

（７）　主体認証情報　主体認証をするために、主体が情報システムに提示する情報をいう。代表的な主体認証情報として、パスワード等がある。

（８）　特定用途機器　テレビ会議システム、IP電話システム、ネットワークカメラシステム、入退管理システム、施設管理システム、環境モニタリングシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続されている又は内蔵電磁的記録媒体を備えているものをいう。

（９）　複合機　プリンタ、ファクシミリ、イメージスキャナ、コピー機等の機能が一つにまとめられている機器をいう。

（１０）　要安定情報可用性２情報をいう。

（１１）　要管理対策区域　機関等の管理下にある区域（機関等が外部の組織から借用している施設等における区域を含む。）であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。

（１２）　要機密情報　機密性２情報及び機密性３情報をいう。

（１３）　要保護情報　要機密情報、要保全情報及び要安定情報に一つでも該当する情報をいう。

（１４）　要保全情報　完全性２情報をいう。

（１５）　利用者等　利用者及び臨時利用者のほか、本学情報システム等を取り扱う者をいう。

（１６）　例外措置　利用者等がポリシー並びにそれに基づく規程及び手順等を遵守することが困難な状況で、教育研究の適正な遂行を継続するため、遵守事項とは異なる代替の方法を採用し、又は遵守事項を実施しないことについて合理的理由がある場合に、そのことについて申請し許可を得た上で適用する行為をいう。

第２章導入・計画

第４条（対策推進計画の策定）

情報セキュリティ最高責任者(CISO:Chief Information Security Officer、以下「CISO」という。)は、明治大学情報セキュリティ委員会における審議を経て、情報セキュリティ対策を総合的に推進するための計画（以下「対策推進計画」という。）を定めること。また、対策推進計画には、本学の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた全体方針並びに以下に掲げる取組の方針・重点及びその実施時期を含めること。

（１）情報セキュリティに関する教育

（２）情報セキュリティ対策の自己点検

（３）情報セキュリティ監査

（４）情報システムに関する技術的な対策を推進するための取組

（５）前各号に掲げるもののほか、情報セキュリティ対策に関する重要な取組

第３章運用

第１節情報セキュリティ関係規程の運用

第５条（情報セキュリティ対策に関する実施手順の整備・運用）

情報セキュリティ実施責任者は、本学における情報セキュリティ対策に関する実施手順を整備し、実施手順に関する事項を統括し、整備状況についてCISOに報告すること。

２情報セキュリティ実施責任者は、本学の情報システムが共通して満たさなくてはならない基本的なセキュリティ機能・設計・実装・運用に関する事項を記載した、「共通セキュリティガイドライン」を策定すること。

３情報セキュリティ実施責任者は、本学の情報システムを利用する際の遵守事項として「利用者向けセキュリティガイドライン」を策定すること。

４情報セキュリティ実施責任者は、情報セキュリティ対策における雇用の開始、終了及び人事異動時等（入学、卒業を含む。）に関する管理手順を整備すること。

５「明治大学情報セキュリティポリシー」の「II 情報セキュリティ対策基準２組織及び体制」で規定した情報セキュリティ対策推進体制は、CISOが規定した当該体制の役割に応じて必要な事項を遂行すること。

６情報セキュリティ管理者は、利用者等より情報セキュリティ関連校規等に係る課題及び問題点の報告を受けた場合は、情報セキュリティ実施責任者に報告すること。

７　情報セキュリティ実施責任者は、情報セキュリティ関連校規等に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告すること。

第６条（違反への対処）

利用者等は、情報セキュリティ関連校規等への重大な違反を知った場合は、情報セキュリティ管理者または情報セキュリティ実施責任者にその旨を報告すること。
２情報セキュリティ実施責任者は、情報セキュリティ関連校規等への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、違反者及び必要な者に情報セキュリティの維持に必要な措置を講じさせるとともに、CISOに報告すること。

第２節例外措置

第７条（例外措置手続の整備）

CISOは、例外措置の適用の申請を審査する者（以下「許可権限者」という。）及び、審査手続を定めること。

２情報セキュリティ実施責任者は、例外措置の適用審査記録の台帳を整備し、許可権限者に対して、定期的に申請状況の報告を求めること。

第８条（例外措置の審査手続）

CISOは、例外措置について以下を含む手順を定めること。

（１）例外措置の許可権限者

（２）事前申請の原則その他の申請方法

（３）審査項目その他の審査方法

第９条（例外措置の適用審査記録の台帳）

許可権限者は、例外措置の適用審査記録に以下の内容を記載し、適用審査記録の台帳として保管するとともに、情報セキュリティ実施責任者へ定期的に報告すること。

（１）審査した者の情報（氏名、役割名、所属、連絡先）

（２）申請内容

（３）審査結果の内容

第１０条（例外措置の運用）

利用者等は、定められた審査手続に従い、許可権限者に規定の例外措置の適用を申請すること。ただし、教育研究の遂行に緊急を要し、当該規定の趣旨を充分尊重した扱いを取ることができる場合であって、情報セキュリティ関連校規等の規定とは異なる代替の方法を直ちに採用すること又は規定されている方法を実施しないことが不可避のときは、事後速やかに届け出ること。

２許可権限者は、利用者等による例外措置の適用の申請を、定められた審査手続に従って審査し、許可の可否を決定すること。

３許可権限者は、例外措置の申請状況を台帳に記録し、情報セキュリティ実施責任者に報告すること。

４情報セキュリティ実施責任者は、例外措置の申請状況を踏まえた情報セキュリティ関連校規等の追加又は見直しの検討を行い、CISOに報告すること。

第３節教育

第１１条（教育体制等の整備）

情報セキュリティ実施責任者は、情報セキュリティ対策に係る教育について、対策推進計画に基づき教育実施計画を策定し、利用者等が毎年度教育を受講できるように、体制を整備すること。

２情報セキュリティ実施責任者は、情報セキュリティの状況の変化に応じ利用者等に対して新たに教育すべき事項が明らかになった場合には、教育実施計画を見直すこと。

第１２条（教育のための資料の整備）

情報セキュリティ実施責任者は、利用者等の役割に応じて教育すべき内容を検討し、教育のための資料を整備すること。

第１３条（教育の実施）

情報セキュリティ管理者は、利用者等に対して、情報セキュリティ関連校規等に係る教育を適切に受講させること。

２利用者等は、教育実施計画に従って、適切な時期に教育を受講すること。

３情報セキュリティ管理者は、情報セキュリティ対策実施作業部会（CSIRT）に属する教職員に教育を適切に受講させること。

第４節情報セキュリティインシデントへの対処

第１４条（情報セキュリティインシデントに備えた準備）

情報セキュリティ実施責任者は、情報セキュリティインシデントの可能性を認知した際に備え、以下の手順及び体制を整備すること。

（１）　報告手順

（２）　対処手順

（３）　緊急連絡網

（４）　訓練の内容及び体制

（５）　学外の者から報告を受けるための窓口

（６）　対処手順が適切に機能することの確認

第１５条（情報セキュリティインシデントへの対処）

利用者等は、情報セキュリティインシデントの可能性を認知した場合には、本学の報告窓口に報告し、指示に従うこと。

２ CSIRT は、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行い、以下の措置を講ずること。

（１）　応急措置の実施及び復旧に係る指示又は勧告

（２）　予め定められている関係機関への連絡

（３）　対処全般に関する指示、勧告又は助言

（４）　本学を含む関係機関との情報共有

３情報セキュリティ対策実施作業部会長（CSIRT責任者）は、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告すること。

４情報セキュリティ管理者は、認知した情報セキュリティインシデントが基盤となる情報システムに関するものであり、当該基盤となる情報システムの情報セキュリティ対策に係る関連校規等が定められている場合には、当該校規等に従い、適切に対処すること。

第１６条（CSIRT における情報共有と役割分担に係る対策）

CSIRT は、情報セキュリティインシデントではないと評価した場合であっても、注意喚起が必要と考えられるものについては、関係する者に情報共有を行うこと。

２ CSIRT 責任者は、認知した情報セキュリティインシデントの種類や規模、影響度合い等を勘案し、必要に応じて、CSIRT、情報セキュリティインシデントの当事者部署、その他関連部署の役割分担を見直すこと。

第１７条（情報セキュリティインシデントの再発防止・教訓の共有）

情報セキュリティ管理者は、CSIRT から応急措置の実施及び復旧に係る指示又は勧告を受けた場合は、当該指示又は勧告を踏まえ、情報セキュリティインシデントの原因を調査するとともに再発防止策を検討し、それを報告書としてCISOに報告すること。

２ CISOは、情報セキュリティ管理者から情報セキュリティインシデントについての報告を受けた場合には、その内容を確認し、再発防止策を実施するために必要な措置を指示すること。

３ CSIRT 責任者は、情報セキュリティインシデント対処の結果から得られた教訓を、情報セキュリティ実施責任者、関係する情報セキュリティ管理者等に共有すること。

第４章点検

第１８条（自己点検計画の策定・手順の準備）

情報セキュリティ実施責任者は、対策推進計画に基づき自己点検計画を策定すること。

２情報セキュリティ管理者は、利用者等ごとの自己点検票及び自己点検の実施手順を整備すること。

３情報セキュリティ実施責任者は、情報セキュリティの状況の変化に応じ、利用者等に対して新たに点検すべき事項が明らかになった場合は、自己点検計画を見直すこと。

第１９条（自己点検の実施）

情報セキュリティ管理者は、自己点検計画に基づき、利用者等に自己点検の実施を指示すること。

２利用者等は、情報セキュリティ管理者から指示された自己点検票及び自己点検の手順を用いて自己点検を実施すること。

第２０条（自己点検結果の評価・改善）

情報セキュリティ実施責任者及び情報セキュリティ管理者は、利用者等による自己点検結果を分析・評価し、評価結果をCISOに報告すること。

２ CISOは、自己点検結果を全体として評価し、自己点検の結果により明らかになった問題点について、情報セキュリティ実施責任者及び情報セキュリティ管理者に改善を指示し、改善結果の報告を受けること。

第５章見直し

第２１条（情報セキュリティ関係規程の見直し）

CISOは、情報セキュリティの運用及び自己点検・監査等の結果等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報セキュリティ委員会の審議を経て、本基準を含むポリシー及びそれに基づく規程等について必要な見直しを行うこと。

２情報セキュリティ実施責任者は、情報セキュリティの運用及び自己点検・監査等の結果等を踏まえて情報セキュリティ対策に関する実施手順を見直し、又は整備した者に対して規定の見直しを指示し、見直し結果についてCISOに報告すること。

第２２条（対策推進計画の見直し）

CISOは、情報セキュリティ対策の運用及び点検・監査等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報セキュリティ委員会の審議を経て、対策推進計画について定期的な見直しを行うこと。

第６章情報の取扱い

第１節情報の取扱い

第２３条（情報の取扱い）

教職員等は、本学の教育研究の遂行に係る情報を取り扱う際、別に定める「情報の格付け及び取扱制限に関する要綱」において規定されている以下の手順を遵守すること。

（１）　情報の入手・作成

（２）　情報の利用・保存

（３）　要管理対策区域・区域外での情報の取り扱い

（４）　情報の提供・公表

（５）　情報の運搬・送信（第三者提供含む）

（６）　情報漏えいの防止、情報の改ざんの防止

（７）　情報の消去（リース契約含む）

（８）　情報のバックアップ

第２節情報を取り扱う区域の管理

第２４条（区域ごとに実施する対策）

情報セキュリティ管理者は、「情報を取り扱う区域の管理に関するガイドライン」に基づいて、施設及び教育研究の執務環境に係る対策を行う単位ごとの区域を定めること。

２情報セキュリティ管理者は、管理する区域について、「情報を取り扱う区域の管理に関するガイドライン」に従って、周辺環境や当該区域で行う教育研究の内容、取り扱う情報等を勘案し、当該区域において実施する対策を含め決定すること。また、利用者等が実施すべき対策については、利用者等が認識できる措置を講ずること。

３　情報セキュリティ管理者は、災害から要安定情報を取り扱う情報システムを保護するために物理的な対策を講ずること。

４　情報セキュリティ管理者は、管理する区域についての利用手順等を整備し、当該区域を利用する利用者等に周知すること。

第７章業務委託

第２５条（業務委託に係る規定の整備）

情報セキュリティ実施責任者は、業務委託に係る以下の規定を整備すること。

（１）　委託先によるアクセスを認める情報及び情報システムの範囲を判断する基準

（２）　情報システムの委託先の選定基準及び委託判断基準

２　情報セキュリティ管理者は、前項の規定に基づいて、業務委託に係る仕様を策定すること。

第２６条（業務委託に係る対策・実施）

情報セキュリティ管理者は、契約に基づき、委託先における情報セキュリティ対策の履行状況及び情報の取扱いを確認すること。

２　情報セキュリティ管理者は、委託した業務の終了時に、委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。

第８章外部サービスの利用

第１節要機密情報を取り扱う場合

第２７条　（外部サービスの利用に係る規定の整備）

情報セキュリティ実施責任者は、以下を含む外部サービスの利用に関する規定を「明治大学クラウド利用ガイドライン」および、「クラウド事業者選定チェックリスト」として整備すること。

　（１）　外部サービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準

　（２）　外部サービス提供者の選定基準

　（３）　外部サービス管理者と外部サービスの利用状況の把握

　（４）　外部サービスを利用した情報システムの導入・構築時の対策　

　（５）　外部サービスを利用した情報システムの運用・保守時の対策

　（６）　外部サービスを利用した情報システムの更改・廃棄時の対策

第２８条　（外部サービスの選定）

情報セキュリティ管理者は、別に定める「情報の格付け及び取扱制限に関する要綱」を踏まえ、「明治大学クラウド利用ガイドライン」および、「クラウド事業者選定チェックリスト」に従って外部サービスの利用を検討すること。

２　情報セキュリティ管理者は、業務に特有のリスクが存在する場合には、必要な情報セキュリティ対策を外部サービス提供者の選定条件に含めること。

３　情報セキュリティ管理者は、取り扱う情報の格付及び取扱制限並びに外部サービスとの情報セキュリティに関する役割及び責任の範囲を踏まえてセキュリティ要件を定め、外部サービスを選定すること。

第２節要機密情報を取り扱わない場合

第２９条（外部サービスの利用に係る規定の整備）

情報セキュリティ実施責任者は、以下を含む外部サービス（要機密情報を取り扱わない場合）の利用に関する規定を「明治大学クラウド利用ガイドライン」および、「クラウド事業者選定チェックリスト」として整備すること。

（１）　外部サービスを利用可能な業務の範囲

（２）　外部サービス管理者と外部サービスの利用状況の把握

（３）　外部サービスの利用の運用手順

第９章情報システムに係る文書等の整備

第１節情報システムに係る台帳等の整備

第３０条（情報システム台帳の整備）

情報セキュリティ実施責任者は、全ての情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳に整備すること。

２情報セキュリティ管理者は、情報システムを新規に構築し、又は更改する際には、当該情報システム台帳のセキュリティ要件に係る内容を記録又は記載すること。

第３１条（情報システム台帳の記載事項）

情報セキュリティ実施責任者は、以下の内容を含む台帳を整備すること。

（１）情報システム名

（２）管理する職場

（３）当該システム責任者の氏名及び連絡先

（４）システム構成

（５）接続する学外通信回線の種別

（６）取り扱う情報の格付及び取扱制限に関する事項

（７）当該情報システムの設計・開発、運用・保守に関する事項

２情報セキュリティ実施責任者は、民間事業者等が提供する情報処理サービスにより情報システムを構築する場合は、以下を含む内容についても台帳として整備すること。

（１）情報処理サービス名

（２）契約事業者

（３）契約期間

（４）情報処理サービスの概要

（５）ドメイン名

（６）取り扱う情報の格付及び取扱制限に関する事項

第３２条　（情報システム関連文書の整備）

情報セキュリティ管理者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を網羅した情報システム関連文書を整備すること。

（１）情報システムを構成するサーバ装置及び端末関連情報

（２）情報システムを構成する通信回線及び通信回線装置関連情報

（３）情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順

（４）情報セキュリティインシデントを認知した際の対処手順

第３３条　（情報システム関連文書の記載事項）

情報セキュリティ管理者は、所管する情報システムを構成するサーバ装置及び端末に関連する情報として、以下を含む文書を整備すること。

（１）サーバ装置及び端末を管理する教職員等及び利用者を特定する情報

（２）サーバ装置及び端末の機種並びに利用しているソフトウェアの種類及びバージョン

（３）サーバ装置及び端末で利用するソフトウェアを動作させるために用いられる他のソフトウェアであって、以下を含むものの種類及びバージョン

（４）サーバ装置及び端末の仕様書又は設計書

２情報セキュリティ管理者は、前項（２）及び（３）の情報を収集するため、自動でソフトウェアの種類やバージョン等を管理する機能を有するIT 資産管理ソフトウェアを導入するなどにより、これら情報を効率的に収集する手法を決定すること。

３情報セキュリティ管理者は、所管する情報システムを構成する通信回線及び通信回線装置関連情報として、以下を含む文書を整備すること。

（１）通信回線及び通信回線装置を管理する教職員等を特定する情報

（２）通信回線装置の機種並びに利用しているソフトウェアの種類及びバージョン

（３）通信回線及び通信回線装置の仕様書又は設計書

（４）通信回線の構成

（５）通信回線装置におけるアクセス制御の設定

（６）通信回線を利用する機器等の識別コード、サーバ装置及び端末の利用者と当該利用者の識別コードとの対応

（７）通信回線の利用部門

４情報セキュリティ管理者は、所管する情報システムについて、情報システム構成要素ごとのセキュリティ維持に関する以下を含む手順を定めること。

（１）サーバ装置及び端末のセキュリティの維持に関する手順

（２）通信回線を介して提供するサービスのセキュリティの維持に関する手順

（３）通信回線及び通信回線装置のセキュリティの維持に関する手順

第２節機器等の調達に係る規定の整備

第３４条（機器等の調達に係る規定の整備）

情報セキュリティ実施責任者は、機器等の納入時の確認・検査項目を「共通セキュリティガイドライン」に記載すること。

２情報セキュリティ管理者は、「共通セキュリティガイドライン」において規定されている情報セキュリティ対策に基づいて確認・検査を行うこと。

第３５条（機器等の選定基準）

情報セキュリティ実施責任者は、機器等の選定基準におけるサプライチェーン・リスクを低減するための要件を「共通セキュリティガイドライン」に記載すること。

第３６条（納品時の確認・検査手続）

情報セキュリティ実施責任者は、機器等の納入時の確認・検査手続には以下を含む事項を確認できる手続を「共通セキュリティガイドライン」に記載すること。

（１）調達時に指定したセキュリティ要件の実装状況

（２）機器等に不正プログラムが混入していないこと

第１０章情報システムのライフサイクルの各段階における対策

第１節情報システムの企画・要件定義

第３７条（実施体制の確保）

情報セキュリティ管理者は、情報システムのライフサイクル全般にわたって情報セキュリティの維持が可能な体制の確保を、CISOに求めること。

第３８条（情報システムのセキュリティ要件の策定）

情報セキュリティ管理者は、情報システムを構築する目的、対象とする業務等の業務要件及び当該情報システムで取り扱われる情報の格付等に基づき、構築する情報システムをインターネットや、インターネットに接点を有する情報システム（外部サービスを含む。）から分離することの要否を判断した上で、「共通セキュリティガイドライン」に基づいて情報システムのセキュリティ要件を策定すること。

第３９条　（情報システムの構築・運用・保守を業務委託する場合の対策）

情報セキュリティ管理者は、情報システムの構築・運用・保守を業務委託する場合は、「共通セキュリティガイドライン」に基づいて委託先に実施させる事項を決定し、調達仕様書に記載するなどして、適切に実施させること。

第２節情報システムの調達・構築

第４０条　（機器等の選定・構築・納品検査時の対策）

情報セキュリティ管理者は、情報システムの機器等の選定・構築・納品検査において、「共通セキュリティガイドライン」に基づいて、以下を含む対策を実施すること。

（１）　情報システムの機器等の選定時の対策

（２）　情報システムの構築時の対策

（３）　情報システムの納品検査時の対策

第３節情報システムの運用・保守

第４１条（情報システムの運用・保守時の対策）

情報セキュリティ管理者は、情報システムの運用・保守において、「共通セキュリティガイドライン」に基づいて、情報システムに実装されたセキュリティ機能を適切に運用すること。

第４節情報システムの更改・廃棄

第４２条（情報システムの更改・廃棄時の対策）

情報セキュリティ管理者は、情報システムの更改又は廃棄を行う場合は、「共通セキュリティガイドライン」に基づいて、当該情報システムに保存されている情報について、当該情報の格付及び取扱制限を考慮した上で、以下の措置を適切に講ずること。

（１）情報システム更改時の情報の移行作業における情報セキュリティ対策

（２）情報システム廃棄時の不要な情報の抹消

第５節情報システムについての対策の見直し

第４３条（情報システムについての対策の見直し）

情報セキュリティ管理者は、情報システムの情報セキュリティ対策について、新たな脅威の出現、運用、監視等の状況により、情報セキュリティ対策に関する実施手順の見直しを適時検討し、必要な措置を講ずること。

第１１章情報システムの運用継続計画

第４４条（情報システムの運用継続計画の整備・整合的運用の確保）

情報セキュリティ実施責任者は、本学において非常時優先業務を支える情報システムの運用継続計画を整備する必要がある場合は、非常時における情報セキュリティに係る対策事項を検討すること。

２情報セキュリティ実施責任者は、情報システムの運用継続計画の教育訓練や維持改善を行う際等に、非常時における情報セキュリティに係る対策事項が運用可能であるかを確認すること。

第１２章情報システムのセキュリティ機能

第１節主体認証機能

第４５条（主体認証機能の導入及びそれに係る対策）

情報セキュリティ管理者は、情報システムや情報へのアクセスを管理するため、主体を特定し、それが正当な主体であることを検証する必要がある場合、「共通セキュリティガイドライン」に基づいて、以下の措置を適切に講ずること。

（１）　主体の識別及び主体認証を行う機能を設けること

（２）　識別コード及び主体認証情報を適切に付与し、それを適切に管理すること

第２節アクセス制御機能

第４６条（アクセス制御機能の導入）

情報セキュリティ管理者は、情報システムの特性、情報システムが取り扱う情報の格付及び取扱制限等に従い、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設けること。

２情報セキュリティ管理者は、情報システム及び情報へのアクセスを許可する主体が確実に制限されるように、アクセス制御機能を適切に運用すること。

３情報セキュリティ管理者は、アクセス制御機能の導入と運用にあたって、「共通セキュリティガイドライン」に基づいて、要件を策定すること。

第３節権限の管理

第４７条（権限の管理及びそれに係る対策）

情報セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、主体から対象に対するアクセスの権限を適切に設定するよう、措置を講ずること。

２情報セキュリティ管理者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するため「共通セキュリティガイドライン」に基づいて、必要な措置を講ずること。

第４節ログの取得・管理

第４８条（ログの取得・管理・分析・点検及びそれに係る対策）

情報セキュリティ管理者は、情報システムのログの取得・管理・分析・点検を行うにあたって、「共通セキュリティガイドライン」に基づいて、要件を策定すること。

第５節通信の観測

第４９条（通信傍受の禁止）

情報システムを運用・管理する者及び利用者等は、ネットワークを通じて行われる通信を傍受してはならない。ただし、CISO、情報セキュリティ実施責任者並びに当該ネットワークを管理する情報セキュリティ管理者は、セキュリティ確保のため、あらかじめ指定した者に、ネットワークを通じて行われる通信のセキュリティ確保目的の観測（以下「観測」という。）を行わせることができる。

２ CISO、情報セキュリティ実施責任者並びに情報セキュリティ管理者は、観測の範囲をあらかじめ具体的に定めておかなければならない。ただし、不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処するために特に必要と認められる場合、CISO、情報セキュリティ実施責任者並びに情報セキュリティ管理者は、セキュリティ侵害の緊急性、内容及び程度に応じて、対処のために不可欠と認められる情報について、観測を行うよう命ずることができる。

３観測を行う者は、観測によって知った通信の内容又は個人情報を、他の者に伝達してはならない。ただし、前項ただし書きに定める情報については、CISO、情報セキュリティ実施責任者並びに情報セキュリティ管理者、及び、情報セキュリティ委員会に伝達することができる。

４　観測を行う者及び観測記録の伝達を受けた者は、セキュリティ確保のために必要な限りで、これを閲覧し、かつ、保存することができる。観測記録を不必要に閲覧してはならない。不必要となった観測記録は、直ちに破棄しなければならない。

第６節暗号・電子署名

第５０条（暗号化機能・電子署名機能の導入及びそれに係る対策）

情報セキュリティ管理者は、情報システムで取り扱う情報の漏えいや改ざん等を防ぐため、「共通セキュリティガイドライン」に基づいて、以下の措置を講ずること。

（１）要機密情報を取り扱う情報システムについては、暗号化を行う機能の必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。

（２）要保全情報を取り扱う情報システムについては、電子署名の付与及び検証を行う機能を設ける必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。

第５１条（暗号化・電子署名に係る管理）

情報セキュリティ管理者は、暗号及び電子署名を適切な状況で利用するため、「共通セキュリティガイドライン」に基づいて、必要な管理措置を講ずること。

第１３章情報セキュリティの脅威への対策

第１節ソフトウェアに関する脆弱性対策

第５２条（ソフトウェアに関する脆弱性対策の実施）

情報セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、サーバ装置、端末及び通信回線装置の設置又は運用中に、当該機器上で利用するソフトウェアに関連する脆弱性についての対策を実施すること。

第２節不正プログラム対策

第５３条（不正プログラム対策の実施）

情報セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、サーバ装置及び端末に不正プログラム対策ソフトウェア等を導入すること。

２情報セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、不正プログラム対策の状況を適宜把握し、必要な対処を行うこと。

第３節サービス不能攻撃対策

第５４条（サービス不能攻撃対策の実施）

情報セキュリティ管理者は、「共通セキュリティガイドライン」に基づいて、サービス提供に必要なサーバ装置、端末及び通信回線装置が装備している機能又は民間事業者等が提供する手段を用いて以下を含むサービス不能攻撃への対策を行うこと。

（１）　サービス不能攻撃を受けた場合を想定した対策

（２）　サービス不能攻撃を受けることに関する監視

第４節標的型攻撃対策

第５５条（標的型攻撃対策の実施）

情報セキュリティ管理者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策（入口対策）を「共通セキュリティガイドライン」に基づいて講ずること。

２情報セキュリティ管理者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策（内部対策及び出口対策）を、「共通セキュリティガイドライン」に基づいて講ずること。

第１４章アプリケーション・コンテンツの作成・提供

第１節アプリケーション・コンテンツ作成時の対策

第５６条（アプリケーション・コンテンツの作成に係る規定の整備）

情報セキュリティ実施責任者は、アプリケーション・コンテンツの作成・提供時に情報セキュリティを損ねる行為を防止するための規定を「共通セキュリティガイドライン」に記載すること。

第５７条（アプリケーション・コンテンツのセキュリティ要件の策定・対策）

情報セキュリティ管理者は、アプリケーション・コンテンツの開発・作成を業務委託する場合において、「共通セキュリティガイドライン」に基づく内容を調達仕様に含めること。

第２節アプリケーション・コンテンツ提供時の対策

第５８条（本学ドメイン名の使用）

情報セキュリティ管理者は、ウェブサイト等に対して、meiji.ac.jp や meiji.jp 等で終わるドメイン名（以下「本学ドメイン名」という。）を使用すること。ただし、明らかに本学のものであると確認できる場合はこれに限らない。

２教職員等は、ウェブサイト等の作成を業務委託する場合においては、前項に規定する本学に適したドメイン名を使用すること。

第５９条（不正なウェブサイトへの誘導防止および検索サイトに係る対策）

情報セキュリティ管理者は、利用者が検索サイト等を経由して本学のウェブサイトになりすました不正なウェブサイトへ誘導されないよう以下の対策を講ずること。

（１）　検索エンジン最適化措置（SEO 対策）

（２）　検索結果に不審なサイトが存在した場合、その検索サイト業者への速やかな報告、および、本学のウェブサイト等における注意喚起の掲示や学内関係部署への報告等

第６０条（アプリケーション・コンテンツの告知に係る対策）

利用者等は、アプリケーション・コンテンツを告知する場合は、告知する対象となるアプリケーション・コンテンツに利用者が確実に誘導されるよう、「利用者向けセキュリティガイドライン」に基づいて必要な措置を講ずること。

２利用者等は、学外の者が提供するアプリケーション・コンテンツを告知する場合は、告知するURL 等の有効性を保つこと。

第１５章端末・サーバ装置等

第１節端末

第６１条（端末の導入・運用・終了時の対策）

情報セキュリティ管理者は、要保護情報を取り扱う端末について、「共通セキュリティガイドライン」に基づいて以下の措置を講ずること。

（１）　物理的な脅威からの保護

（２）　利用を認めるソフトウェアの定期的な見直し

（３）　端末の運用終了時の対策

（４）　要管理対策区域外で使用する端末の導入及び利用時の対策

（５）　本学支給以外の端末の導入及び利用時の対策

第２節サーバ装置

第６２条　（サーバ装置の導入・運用・終了時の対策）

情報セキュリティ管理者は、要保護情報を取り扱うサーバ装置について、「共通セキュリティガイドライン」に基づいて以下の措置を講ずること。

（１）　物理的な脅威からの保護

（２）　可用性の確保

（３）　利用を認めるソフトウェアの定期的な見直し

（４）　不適切な状態にあるサーバ装置の確認

（５）　意図しない事象の監視

（６）　要安定情報を取り扱うサーバ装置の対策

（７）　サーバ装置の運用終了時の対策

（８）　サーバ装置の運用時・運用管理作業の記録・監視・復元時の対策

第３節複合機・特定用途機器

第６３条（複合機および特定用途機器の導入・運用・終了時の対策）

情報セキュリティ管理者は、複合機および特定用途機器について「共通セキュリティガイドライン」に基づいて以下の措置を講ずること。

（１）　情報セキュリティインシデントへの対策

（２）　運用終了時の対策

（３）　機器の特性に応じた対策

第１６章電子メール・ウェブ等

第１節電子メール

第６４条（電子メールの導入・運用時の対策）

情報セキュリティ管理者は、電子メールの送受信を行うシステムの導入・運用において、「共通セキュリティガイドライン」に基づいて、以下を含む必要なセキュリティ対策を講ずること。

（１）　電子メールの受信時及び送信時の主体認証

（２）　電子メールのなりすまし等の防止

第２節ウェブ

第６５条（ウェブサーバの導入・運用時の対策）

情報セキュリティ管理者は、ウェブサーバの導入・運用において、「共通セキュリティガイドライン」に基づいて、必要なセキュリティ対策を講じること。

第６６条（ウェブアプリケーションの開発時・運用時の対策）

情報セキュリティ管理者は、ウェブアプリケーションの開発時・運用時において、「共通セキュリティガイドライン」に基づいて、ウェブアプリケーションの脆弱性の排除を含む、必要なセキュリティ対策を講ずること。

第３節ドメインネームシステム（DNS）

第６７条（DNS の導入・運用時の対策）

情報セキュリティ管理者は、DNSサーバの導入・運用において、「共通セキュリティガイドライン」に基づいて、以下を含む必要なセキュリティ対策を講ずること。

（１）　コンテンツサーバに係る対策

（２）　キャッシュサーバに係る対策

（３）　DNS キャッシュポイズニング攻撃に係る対策

第４節データベース

第６８条（データベースの導入・運用時の対策）

情報セキュリティ管理者は、データベースの導入・運用において、「共通セキュリティガイドライン」に基づいて、以下を含む必要なセキュリティ対策を講ずること。

（１）　データベースの管理者権限に係る対策

（２）　データベースの操作ログに係る対策

（３）　データベースにおける脆弱性に係る対策

（４）　データベースにおける暗号化に係る対策

第１７章通信回線

第６９条（通信回線の導入・運用時の対策）

情報セキュリティ実施責任者は、通信回線構築時に、当該通信回線に接続する情報システムにて取り扱う情報の格付及び取扱制限に応じた適切な回線種別を選択し運用するために、以下の内容を「共通セキュリティガイドライン」に記載すること。

（１）　通信経路の分離に係る対策

（２）　通信回線の秘匿性確保に係る対策

（３）　通信回線への情報システムの接続に係る対策

（４）　通信回線及び通信回線装置の保護に係る対策

（５）　要安定情報を取り扱う情報システムが接続される通信回線に係る対策

（６）　学内通信回線と学外通信回線との接続に係る対策

（７）　遠隔地から通信回線装置に対して行われるリモートアクセスに係る対策

（８）　通信回線の運用時の対策

（９）　作業記録・設定情報等のバックアップの取得と保管

（１０）　無線LAN 環境導入時の対策

２情報セキュリティ管理者は、通信回線の構築および運用時には「共通セキュリティガイドライン」に基づく内容を仕様に含めること。

第７０条（通信回線の運用終了時の対策）

情報セキュリティ管理者は、通信回線装置の運用を終了する場合には、当該通信回線を構成する通信回線装置が運用終了後に再利用された時又は廃棄された後に、運用中に保存していた情報が漏えいすることを防止するための適切な措置を講ずること。

第１８章情報システムの利用

第１節情報システムの利用

第７１条（情報システムの利用に係る規定の整備）

情報セキュリティ実施責任者は、本学の情報システムの利用のうち、情報セキュリティに関する規定として、以下の内容を「利用者向けセキュリティガイドライン」に記載すること。

（１）　情報システムの基本的な利用のうち、情報セキュリティに関する手順

（２）　電子メール及びウェブの利用のうち、情報セキュリティに関する手順

（３）　識別コードと主体認証情報の取扱手順

（４）　暗号と電子署名の利用に関する手順

（５）　不正プログラム感染防止の手順

（６）　アプリケーション・コンテンツの提供時に学外の情報セキュリティを損ねる行為の防止に関する手順

（７）　ドメイン名の使用に関する手順

（８）　Web会議サービス利用時の手順

（９）　USBメモリ等の外部電磁的記録媒体を用いた情報の取扱いに関する利用手順

第７２条（情報システム利用者の規定の遵守を支援するための対策）

情報セキュリティ管理者は、利用者等による規定の遵守を支援する機能について情報セキュリティリスクと業務効率化の観点から支援する範囲を検討し、当該機能を持つ情報システムを構築することで利用者等へ情報セキュリティインシデントが発生しにくい利用環境を提供し組織全体のセキュリティ水準を確保すること。

第７３条（情報システム利用者の規定の遵守を支援するためのウェブサイト、電子メールに係る対策）

情報セキュリティ管理者は、学外のウェブサイトについて、利用者等が閲覧できる範囲を制限する機能を導入すること。

２　情報セキュリティ管理者は、利用者等が不審なメールを受信することによる被害をシステム的に仰止する機能を導入すること。

第７４条（情報システムの利用時の基本的対策）

利用者等は、情報システムを利用するときに「利用者向けセキュリティガイドライン」に記載されている基本的対策に基づいて利用すること。

第２節ソーシャルメディアサービスによる情報発信

第７５条　（ソーシャルメディアサービスによる情報発信時の対策）

情報セキュリティ実施責任者は、本学が管理するアカウントでソーシャルメディアサービスを利用することを前提として、以下を含む情報セキュリティ対策に関する運用手順等を定めること。また、当該サービスの利用において要機密情報が取り扱われないよう規定すること。

（１）　本学のアカウントによる情報発信が実際の本学のものであると明らかとするために、アカウントの運用組織を明示するなどの方法でなりすましへの対策を講ずること。

（２）　パスワード等の主体認証情報を適切に管理するなどの方法で不正アクセスへの対策を講ずること。

２　利用者等は、要安定情報の一般利用者への提供にソーシャルメディアサービスを用いる場合は、本学の管理するウェブサイトに当該情報を掲載して参照可能とすること。

第３節テレワーク

第７６条　（実施規程の整備）

情報セキュリティ実施責任者は、テレワークを実施する場合は情報セキュリティ対策に係る規定を整備すること。

第７７条　（実施環境における対策）

情報セキュリティ管理者は、テレワークの実施により学外通信回線を経由して本学の情報システムへリモートアクセスする形態となる情報システムを構築する場合は、第７６条の規定に従い、通信経路及びリモートアクセス特有の攻撃に対するセキュリティを確保すること。

２　情報セキュリティ管理者は、リモートアクセスに対し多要素主体認証を行うこと。

３　情報セキュリティ管理者は、リモートアクセスする端末を最新の脆弱性対策や不正プログラム対策が施されている端末に限定すること。

第７８条　（実施時における対策）

情報セキュリティ管理者は、第７６条の規定に従い、テレワーク実施前及び実施後に利用者等がチェックするべき項目を定め、利用者等に当該チェックを実施させること。

２　利用者等は、画面ののぞき見や盗聴を防止できるようテレワークの実施場所を選定すること。また、自宅以外でテレワークを実施する場合には、離席時の盗難に注意すること。

３　利用者等は、原則として情報セキュリティ対策の状況が定かではない又は不十分な学外通信回線を利用してテレワークを行わないこと。