明治大学情報セキュリティポリシー 2009年6月2日制定 Ⅰ 情報セキュリティ基本方針 1 基本理念及び目的 情報システムは,大学において教育,研究,社会活動その他関連する業務を行うに 当たって,必要不可欠なものであり,可能な限り自由に活用されるべきものである。 この情報システムを安全かつ効果的に運用していくためには,情報資産の安全性と健 全性の確保に努め,これを保全していく必要がある。 そのために,学校法人明治大学及びその設置学校(以下「本学」という。)の教職員, 学生その他本学の構成員は,情報資産の価値を十分に認識し,個人及び学内の情報資産 を守るだけでなく,他者及び学外に対する不正な情報提供,情報資産の侵害等が行われ ないように努め,本学における情報システムの信頼性を高めていかなければならない。 そこで,本学においては,上記を踏まえて,次の事項の実現を目的として情報セキュ リティ基本方針(以下「基本方針」という。)及び情報セキュリティ対策基準(以下 「対策基準」という。)からなる明治大学情報セキュリティポリシー(以下「本ポリシー」 という。)を制定し,本学の全構成員に周知を図ることとする。 (1) 本学に対する情報セキュリティ侵害を防止・抑止すること。 (2) 学内外の情報セキュリティを損ねる行為を防止・抑止すること。 (3) 重要度に応じた情報資産の管理・運用を行うこと。 (4) 社会的な要請に対応した情報資産の管理・運用を行うこと。 なお,情報セキュリティを確保・維持するための方策及び手順は,技術の進展,社会 情勢の変化,本学の情報システムの変更等により変化する。 よって,適宜,基本方針,対策基準,実施手順等を見直すとともに,本学の全構成員に これを周知し,理解と協力を求めていくこととする。 2 用語の定義 本ポリシーにおける用語の定義は,次に掲げる用語を含め,内閣官房情報セキュリティ 対策推進会議において決定した「情報セキュリティポリシーに関するガイドライン」 (平成12年7月18日制定)に定める定義と同様とする。 (http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html) (1) 情報セキュリティ 情報資産の機密性,完全性及び可用性を維持すること。 (2) 情報資産 情報及び情報を管理する仕組み(情報システム並びにシステム開発,運用及び保守の ための資料等)の総称 3 対象範囲及び対象者 (1) 本ポリシーの対象範囲は,次のとおりとする。 ア 本学の管理するコンピュータ及びネットワーク イ 本学の管理するネットワークに接続されたコンピュータ及びネットワーク機器並びに その保有しているデータ ウ 本学の諸活動に伴い,業務委託先(アプリケーション・サービス・プロバイダ等)に おいて取り扱われるデータ (2) 本ポリシーの対象者(以下「対象者」という。)は,役員,教職員(臨時・非常勤の 教職員を含む。),客員研究員,共同研究者,学生,生徒,研究生,聴講生,委託業者, 協力業者,来校者等本学において活動を行うすべての者とする。 4 対象者の義務 (1) 対象者の一般的な義務 対象者は,情報セキュリティ委員会が定める対策基準及び実施手順のほか,情報セキュリティ ポリシーに関するガイドラインを遵守しなければならない。 (2) 情報システムの管理者の義務 ア 教育情報システム,研究情報システム,図書館情報システム,事務情報システム等の各 情報システム管理責任者は,学内外から,情報システムの不正使用,データの不正な利用等に かかわる苦情,通報等があった場合には,速やかに調査を行わなければならない。 イ 情報システム管理責任者は,調査の結果,不正が確認されたときは,別に定める実施手順 等に基づき,関係する通信の遮断,該当する情報システムの切離し等の必要な措置を講ずる ものとする。 (3) 利用者の義務 ア 情報システムを利用する者(以下「利用者」という。)は,学内外に対して,情報セキュリ ティを損ねる行為をしてはならない。 イ あらかじめ想定されていない事故又は行為によって情報セキュリティが侵害されたときは, 利用者は,直ちに情報セキュリティ管理者を経て,情報システム管理責任者に連絡しなければ ならない。 ウ 個人,研究室等で,利用者自らが直接管理する情報資産については,各利用者がそのセキュ リティに関する責任を負うものとする。 5 情報セキュリティ関連校規等 対象者は,本ポリシーのほか,次の情報セキュリティに関連する校規等を理解するとともに, これを遵守しなければならない。 (1) 学校法人明治大学総合情報システム管理規程(1993年度規程第3号) (2) 事務情報システム管理・運用規程(1993年度規程第4号) (3) 学校法人明治大学総合情報ネットワーク管理・運用規程(1994年度規程第10号) (4) 学校法人明治大学総合情報ネットワーク(MIND)利用基準(1995年度例規第11号) (5) 学校法人明治大学総合情報ネットワーク(MIND)運用基準(1996年度例規第4号) (6) 学校法人明治大学総合情報ネットワーク(MIND)審査委員会要綱(1997年度例規 第12号) (7) 明治大学ホームページ管理・運用規程(1999年度規程第9号) (8) 明治大学ホームページへのリンク登録に関する要領(1999年度例規第5号) (9) 個人情報の保護に関する規程(1999年度規程第8号) (10) 学校法人明治大学個人情報保護方針(2005年3月8日制定) Ⅱ 情報セキュリティ対策基準 1 趣旨 この対策基準は,基本方針の目的を達成するために,必要な組織・体制,基準,指針等を定めるもの とする。 2 組織及び体制 本学における情報セキュリティを確保するために,次に掲げる者を置くとともに,その権限と責務を 明確にする。 (1) 情報セキュリティ最高責任者 情報セキュリティ最高責任者(CISO:Chief Information Security Officer,以下「CISO」という。)は, 教育,研究,事務,図書館,ネットワーク等の主要システムについて情報セキュリティ管理者を指名すると ともに,全学的な情報セキュリティの維持・向上,情報セキュリティ対策の推進,情報セキュリティに 関する事件・事故等の対処にかかわる責任を負うものとする。 あらかじめ想定されていない事故又は行為によって情報セキュリティが侵害され,緊急な対処を必要と する場合には,CISOが判断し,その内容に応じて当該情報セキュリティ管理者等に命じて対処するものとする。 CISOは,本学における情報システムを所管する担当常勤理事が専任教員のうちから指名する。(任期2年) CISOが,その責務を遂行するために,CISOを委員長とする「情報セキュリティ委員会」を設置する。 (2) セキュリティ管理者 セキュリティ管理者(以下「管理者」という。)は,管理する情報資産におけるセキュリティの維持に かかわる責任を負う。 管理者は,次に掲げる者とする。 ア 学校法人明治大学総合情報システム管理規程に定めるシステムの管理者 イ 事務情報システム管理・運用規程に定める情報の管理責任者 ウ 個人情報の保護に関する規程に定める情報の管理責任者 エ 学校法人明治大学総合情報ネットワーク(MIND)運用基準に定めるサーバシステムの管理責任者 オ 学校法人明治大学総合情報ネットワーク(MIND)利用基準に定める接続責任者 カ 機器又は当該機器で利用するソフトウェア,システム等については,そのシステムの管理者 キ 上記ア~カのほか,個人,研究室等において,利用者自らが直接管理する情報資産を持つ場合については, その利用者 機器・システム等の導入を主体的に行った者は,そのシステムの管理者を速やかに定めなければならない。 管理者は,その権限内において行う作業を権限のない他者(学生,業者等)へ委任した場合においても,なお, その結果について責任を負うものとする。 (3) 情報セキュリティ委員会 本学における情報セキュリティ対策を推進し,本学の情報システムの安全かつ適切な運用を図るため,情報 セキュリティ委員会(以下「委員会」という。)を置く。 委員会は,基本方針の維持及び見直しのほか,対策基準及び実施手順の策定,運用,啓発活動等を任務とする。 委員会の運営等に関し,必要な事項については,明治大学情報セキュリティ委員会規程(2007年度規程 第73号)の定めるところによる。 (4) 担当部署 情報セキュリティにかかわる担当部署は,情報メディア部システム企画事務室とする。 3 セキュリティ上の事故等への対応 (1) 管理者は,セキュリティ上の事故等問題が発生したとの連絡を受けた場合,直ちにセキュリティの確保・維持の ための適切な措置を講じるとともに,その内容をCISOへ報告しなければならない。この場合において,CISOは, この報告を受けた場合,必要に応じて委員会を開催することとする。なお,管理者は,一時的・技術的な対応に 当たる際には,情報基盤本部と連携して行うものとする。 (2) 管理者は,個人情報の保護に関する規程,学校法人明治大学総合情報ネットワーク(MIND)運用基準等 事故等発生時の対応手順等に関し別に定めがある場合,それに従うものとする。なお,その場合においても, CISOに必要な報告を行うものとする。 4 具体的な対策 対象者は,管理し,又は利用する情報資産に対し,関連校規及びポリシーに定めることに留意し,情報セキュリ ティの確保・維持に努めなければならない。 対策基準の詳細その他セキュリティの確保・維持に必要な事項は,委員会が別に定める実施手順及びガイドラインに 定めるところによる。 管理者は,本ポリシー及び実施手順に定めのない事項又は情報資産に係る固有の事情により実施手順等に従うことが できない場合,実施手順を別途定め,委員会の承認を得るものとする。 5 情報資産の分類と管理 管理者及び対象者は,情報資産について,その内容又は重要度に応じて,適切に管理を行わなければならない。 (1) 物理的セキュリティ ア 管理者は,情報資産の重要度に相応しい場所及び方法により,設置・保管すること。また,設置・保管場所の 周辺環境・施設設備を考慮し,入退室の管理,災害・盗難の防止等必要な対策を講じること。 イ 管理者は,バックアップの取得等により,電子データの原本の確保・保管に配慮すること。 ウ 管理者は,対象者が情報資産を学外へ持ち出すことのないように周知を図ること。情報資産を学外へ持ち出す者は, その取扱いについて,セキュリティに関し適切な対策を行うとともに,持ち出す際の手続に関し別に定めがある 場合には,それに従うこと。 エ 学内に情報資産を持ち込む者は,持ち込む機器,ソフトウェア,メディア等に対し,適切なセキュリティ対策を 行うこと。 オ システム,機器若しくは情報等を記録したメディアを廃棄又は返却する者は,記録されている情報の消去に関し, 適切な措置を講じること。 (2) 人的セキュリティ ア 管理者は,利用者に対し,必要なセキュリティの指導を行うこと。 イ 管理者は,情報資産を利用させるに当たって,利用資格,アクセス権,アクセス方法等について検討し,適切な 方法により利用が可能となるようにすること。 ウ 管理者から情報資産の利用するために必要な情報(パスワード等)を与えられた者は,その管理には十分な注意を 払い,不正に利用されることのないようにすること。 エ 情報資産を取り扱う者は,それが不用意に他者へ開示されてしまうことのないように,適切に取り扱うとともに, 保管等に注意すること。 (3) 技術的セキュリティ ア 管理者は,情報資産を利用させる場合,重要度に応じ,適切なアクセス制限を行う仕組並びに不正なアクセスの 防止及びその検知手段等について検討し,必要な対策を講じること。 イ 管理者は,システム等のアクセスログ,操作ログ等について,情報資産の重要度に応じ,当該ログの取得項目, 保存期間等を定めて保存すること。 ウ 管理者は,管理する機器・ソフトウェアについて,常にその構成を把握し,セキュリティに係る更新,ウィルス 対策等適切なセキュリティの維持に努めること。 (4) システム導入,移転及び撤去時におけるセキュリティ対策 ア 管理者は,システムの導入及びデータの作成を行う際には,それらのセキュリティの確保について十分な検討を 行い,必要な対策を講じること。システムの運用及び保守並びにデータの保守を行う際についても,同様とする。 イ 管理者は,システムの移転若しくは撤去又はデータの廃棄を行う際には,個人情報等機密情報への対処を適切に 行うこと。 ウ これらの業務を委託する場合,基本方針・対策基準の遵守等セキュリティ確保のために必要な事項を,仕様書, 契約書等に明記すること。 6 違反者への措置 対象者が,本ポリシーに違反した場合には,学校法人明治大学教職員就業規則,学則等の校規に基づき,必要な処分を 行うことがある。 7 監査 セキュリティに係る監査については,学校法人明治大学総合情報システム管理規程第8条に定めるところにより実施する ものとする。 対象者は,セキュリティに係る監査のほか,委員会等からのセキュリティの維持・向上にかかわる調査,依頼等に関して, 協力しなければならない。 以 上