明治大学情報セキュリティポリシー
2024年3月6日制定
Ⅰ 情報セキュリティ基本方針
1 基本理念及び目的
情報システムは、大学において教育、研究、社会活動その他関連する
業務を行うに当たって、必要不可欠なものであり、可能な限り自由に活
用されるべきものである。この情報システムを安全かつ効果的に運用し
ていくためには、情報資産の安全性と健全性の確保に努め、これを保全
していく必要がある。
そのために、学校法人明治大学及びその設置学校(以下「本学」とい
う。)の教職員、学生その他本学の構成員は、情報資産の価値を十分に
認識し、個人及び学内の情報資産を守るだけでなく、他者及び学外に対
する不正な情報提供、情報資産の侵害等が行われないように努め、本学
における情報システムの信頼性を高めていかなければならない。
そこで、本学においては、上記を踏まえて、次の事項の実現を目的と
して情報セキュリティ基本方針(以下「基本方針」という。)及び情報
セキュリティ対策基準(以下「対策基準」という。)からなる明治大学
情報セキュリティポリシー(以下「本ポリシー」という。)を制定し、
本学の全構成員に周知を図ることとする。
(1) 情報セキュリティ対策の実施体制を整備すること。
(2) 本学に対する情報セキュリティ侵害を防止・抑止すること。
(3) 学内外の情報セキュリティを損ねる行為を防止・抑止すること。
(4) 重要度に応じた情報資産の管理・運用を行うこと。
(5) 社会的な要請に対応した情報資産の管理・運用を行うこと。
(6) インシデントへの対処を行うこと。
(7) 情報セキュリティに関わる利用者への啓発・教育を行うこと。
なお、情報セキュリティを確保・維持するための方策及び手順は、技
術の進展、社会情勢の変化、本学の情報システムの変更等により変化する。
よって、適宜、基本方針、対策基準、実施手順等を見直すとともに、
本学の全構成員にこれを周知し、理解と協力を求めていくこととする。
2 用語の定義
本ポリシーにおける用語の定義は、次に掲げる用語を含め、政府機関
等のサイバーセキュリティ対策のための統一基準に定める定義を基本と
する。
(1) 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持すること。
(2) 情報資産
情報及び情報を管理する仕組み(情報システム並びにシステム開発、
運用及び保守のための資料等)の総称。
(3) インシデント
望まない単独若しくは一連の情報セキュリティ事象、又は予期しな
い単独若しくは一連の情報セキュリティ事象であって、事業運営を危
うくする確率及び情報セキュリティを脅かす確率が高いもの。
(4) 情報システム
ハードウェア及びソフトウェアから成るシステムであって、情報処
理又は通信の用に供するものをいい、特に断りのない限り、本学が調
達又は開発するもの(管理を外部委託しているシステムを含む)。
3 対象範囲及び対象者
(1) 本ポリシーの対象範囲は、次のとおりとする。
ア 本学の管理する情報システム及びその保有しているデータ
イ 本学の管理するネットワークに接続された情報システム及びそ
の保有しているデータ
ウ その他、本学の諸活動に伴い取り扱われるデータ及びそれを保
有している情報システム
(2) 本ポリシーの対象者(以下「対象者」という。)は、役員、教職員
(臨時・非常勤の教職員を含む。)、客員研究員、共同研究者、学生、
生徒、研究生、聴講生、委託業者、協力業者、来校者等本学において
活動を行うすべての者とする。
4 対象者の義務
(1) 対象者の一般的な義務
対象者は、情報セキュリティ委員会が定める対策基準及び実施手順
のほか、情報セキュリティポリシーに関するガイドラインを遵守しな
ければならない。
(2) 情報システムの管理者の義務
ア 教育情報システム、研究情報システム、図書館情報システム、
事務情報システム等の各情報システム管理責任者は、学内外から、
情報システムの不正使用、データの不正な利用等にかかわる苦情、
通報等があった場合には、速やかに調査を行わなければならない。
イ 情報システム管理責任者は、調査の結果、不正が確認されたと
きは、別に定める実施手順等に基づき、関係する通信の遮断、該
当する情報システムの切離し等の必要な措置を講ずるものとする。
(3) 利用者の義務
ア 情報システムを利用する者(以下「利用者」という。)は、学内
外に対して、情報セキュリティを損ねる行為をしてはならない。
イ あらかじめ想定されていない事故又は行為によって情報セキュ
リティが侵害されたときは、利用者は、直ちに情報セキュリティ
管理者を経て、情報システム管理責任者に連絡しなければならない。
ウ 個人、研究室等で、利用者自らが直接管理する情報資産につい
ては、各利用者がそのセキュリティに関する責任を負うものとする。
5 情報セキュリティ関連校規等
対象者は、本ポリシーのほか、次の情報セキュリティに関連する校規
を理解するとともに、これを遵守しなければならない。
(1) 学校法人明治大学総合情報システム管理規程(1993年度規程第3号)
(2) 事務情報システム管理・運用規程(1993年度規程第4号)
(3) 学校法人明治大学総合情報ネットワーク管理・運用規程(1994年度規程第10号)
(4) 学校法人明治大学総合情報ネットワーク(MIND)利用基準(1995年度例規第11号)
(5) 学校法人明治大学総合情報ネットワーク(MIND)運用基準(1996年度例規第4号)
(6) 学校法人明治大学総合情報ネットワーク(MIND)審査委員会要綱(1997年度例規第12号)
(7) 明治大学ホームページ管理・運用規程(1999年度規程第9号)
(8) 明治大学ホームページへのリンク登録に関する要領(1999年度例規第5号)
(9) 個人情報の保護に関する規程(1999年度規程第8号)
(10)学校法人明治大学個人情報保護方針(2005年3月8日制定)
(11)その他関連する校規等
Ⅱ 情報セキュリティ対策基準
1 趣旨
この対策基準は、基本方針の目的を達成するために、必要な組織・体
制、基準、指針等を定めるものとする。
2 組織及び体制
本学における情報セキュリティを確保するために、次に掲げる者を置
くとともに、その権限と責務を明確にする。
(1) 情報セキュリティ最高責任者
ア 情報セキュリティ最高責任者(CISO:Chief Information Security
Officer、以下「CISO」という。)は、教育、研究、事務、図書館、
ネットワーク等の主要システムについて、第3号に規定する情報セ
キュリティ管理者を指名するとともに、全学的な情報セキュリティ
の維持・向上、情報セキュリティ対策の推進、情報セキュリティに
関する事件・事故等の対処にかかわる責任を負うものとする。
イ あらかじめ想定されていない事故又は行為によって情報セキュリ
ティが侵害され、緊急な対処を必要とする場合には、CISOが判断
し、その内容に応じて当該情報セキュリティ管理者等に命じて対処
するものとする。
ウ CISOは、本学における情報システムを所管する担当常勤理事を
もって充てる。
エ CISOが、その責務を遂行するために、CISOを委員長とする「情
報セキュリティ委員会」を設置する。
オ CISOは、以下を含む情報セキュリティ対策推進体制の役割を規
定する。
(ア) 情報セキュリティ関連校規及び対策推進計画の策定に係ること
(イ) 情報セキュリティ関連校規の運用に係ること
(ウ) 例外措置に係ること
(エ) 情報セキュリティ対策の教育の実施に係ること
(オ) 情報セキュリティ対策の自己点検に係ること
(カ) 情報セキュリティ関連校規及び対策推進計画の見直しに係ること
(2) 情報セキュリティ副責任者
ア 情報セキュリティ副責任者(以下「副CISO」という。)は、CISO
の命を受けて本学の情報セキュリティに関する事項を統括する。
イ 副CISOは、CISOを補佐し、CISOに事故あるときは、その職務を
代行する。
ウ 副CISOは、CISOが本学の専任教員の中から指名する。
エ 副CISOの任期は、CISOと同一とする。
(3) 情報セキュリティ管理者
ア 情報セキュリティ管理者(以下「管理者」という。)は、管理す
る情報資産におけるセキュリティの対策及び維持にかかわる責任を
負う。
イ 管理者は、次に掲げる者とする。
(ア) 学校法人明治大学総合情報システム管理規程に定めるシステム
の管理者
(イ) 事務情報システム管理・運用規程に定める情報の管理責任者
(ウ) 個人情報の保護に関する規程に定める情報の管理責任者
(エ) 学校法人明治大学総合情報ネットワーク(MIND)運用基準
に定めるサーバシステムの管理責任者
(オ) 学校法人明治大学総合情報ネットワーク(MIND)利用基準
に定める接続責任者
(カ) 機器又は当該機器で利用するソフトウェア、システム等につい
ては、そのシステムの管理者
(キ) 上記(ア)~(カ)のほか、個人、研究室等において、利用者自らが
直接管理する情報資産を持つ場合については、その利用者
ウ 機器・システム等の導入を主体的に行った者は、そのシステムの
管理者を速やかに定めなければならない。
エ 管理者は、その権限内において行う作業を権限のない他者(学生、
業者等)へ委任した場合においても、なお、その結果について責任
を負うものとする。
オ 管理者は、管理を行う組織における情報セキュリティ対策を推進
するために、次に掲げる事項を担う。
(ア) 情報セキュリティインシデントの原因調査、再発防止策等の実施
(イ) 情報セキュリティに係る自己点検計画の策定及び実施手順の整備
(ウ) 前2号に掲げるもののほか、管理を行う組織の情報セキュリテ
ィ対策に関すること
(4) 情報セキュリティ実施責任者
ア 管理者を統括し、CISOを補佐する者として、情報セキュリティ
実施責任者を置く。
イ 情報セキュリティ実施責任者は、次に掲げる事項を担う。
(ア) 情報セキュリティ対策に関する実施手順の整備及び見直し並び
に実施手順に関する取りまとめ
(イ) 情報セキュリティ対策に係る教育実施計画の策定及び当該実施
体制の整備
(ウ) 例外措置の適用審査記録の台帳整備等
(エ) 情報セキュリティインシデントに対処するための緊急連絡窓口
の整備等
(オ)前各号に掲げるもののほか、情報セキュリティ対策に係ること
ウ 情報セキュリティ実施責任者は情報基盤本部長をもって充てる。
(5) 情報セキュリティアドバイザー
ア CISOは、情報セキュリティについて専門的な知識及び経験を有
する者を情報セキュリティアドバイザーとして置く。
イ 情報セキュリティアドバイザーは、次に掲げる事項を行う。
(ア) 全学の情報セキュリティ対策の推進に係るCISO及び情報セキ
ュリティ実施責任者への助言
(イ) 情報セキュリティ関連校規の整備に係る助言
(ウ) 対策推進計画の策定に係る助言
(エ) 教育実施計画の立案に係る助言
(オ) 情報システムに係る技術的事項に係る助言
(カ) 情報システムの設計・開発を外部委託により行う場合に調達仕
様に含めて提示する情報セキュリティに係る要求仕様の策定に係
る助言
(キ) 情報セキュリティインシデントへの対処の支援
(ク) 前各号に掲げるもののほか、情報セキュリティ対策への助言又
は支援
ウ 情報セキュリティアドバイザーは、CISOが指名する。
エ 情報セキュリティアドバイザーの任期はCISOと同一とする。
(6) 情報セキュリティ委員会
ア CISOは、本学における情報セキュリティ対策を推進し、本学の
情報システムの安全かつ適切な運用を図るため、情報セキュリティ
委員会(以下「委員会」という。)を置く。
イ 委員会は、基本方針の維持及び見直しのほか、対策基準及び実施
手順の策定、運用、啓発活動等を任務とする。
ウ 委員会の運営等に関し、必要な事項については、明治大学情報セ
キュリティ委員会規程(2007年度規程第73号)の定めるとこ
ろによる。
(7) 情報セキュリティ対策実施作業部会
ア 情報セキュリティ委員会は、本学におけるインシデントの発生時
に、迅速かつ円滑に対応するために、情報セキュリティ対策実施作
業部会(CSIRT:Computer Security Incident Response Team、以下
「CSIRT」という。)を情報セキュリティ委員会の下に置く。
イ CSIRTは、次に掲げる事項を行う。
(ア) 本学に関わる情報セキュリティインシデント発生時の対処の一
元管理
(イ) 情報セキュリティインシデントへの迅速かつ的確な対処
(ウ) 前2号に掲げるもののほか、情報セキュリティ委員会において
定める事項
(8) 担当部署
ア 情報セキュリティにかかわる担当部署は、情報メディア部システ
ム企画事務室とする。
イ 担当部署は、以下の事務を行う。
(ア) 情報セキュリティ委員会の運営に関する事項
(イ) 本学の情報システムの運用と利用におけるポリシーの実施状況
の取りまとめ
(ウ) 講習計画、リスク管理及び非常時行動計画等の実施状況の取り
まとめ
(エ) 本学の情報システムのセキュリティに関する連絡と通報
(オ) CISO及び情報セキュリティ実施責任者の支援
3 セキュリティ上の事故等への対応
(1) 管理者は、セキュリティ上の事故等問題が発生したとの連絡を受
けた場合、直ちにセキュリティの確保・維持のための適切な措置を
講じるとともに、その内容をCISOへ報告しなければならない。この
場合において、CISOは、この報告を受けた場合、必要に応じて委員
会を開催することとする。なお、管理者は、一時的・技術的な対応
に当たる際には、情報基盤本部と連携して行うものとする。
(2) 管理者は、個人情報の保護に関する規程、学校法人明治大学総合
情報ネットワーク(MIND)運用基準等事故等発生時の対応手順
等に関し別に定めがある場合、それに従うものとする。なお、その
場合においても、CISOに必要な報告を行うものとする。
4 具体的な対策
(1) 対象者は、管理し、又は利用する情報資産に対し、関連校規及びポ
リシーに定めることに留意し、情報セキュリティの確保・維持に努め
なければならない。
(2) 対策基準の詳細その他セキュリティの確保・維持に必要な事項は、
委員会が別に定める実施手順及びガイドラインに定めるところによる。
(3) 管理者は、本ポリシー及び実施手順に定めのない事項又は情報資産
に係る固有の事情により実施手順等に従うことができない場合、実施
手順を別途定め、委員会の承認を得るものとする。
5 情報資産の分類と管理
管理者及び対象者は、情報資産について、その内容又は重要度に応じ
て、適切に管理を行わなければならない。
(1) 物理的セキュリティ
ア 管理者は、情報資産の重要度に相応しい場所及び方法により、設
置・保管すること。また、設置・保管場所の周辺環境・施設設備を
考慮し、入退室の管理、災害・盗難の防止等必要な対策を講じること。
イ 管理者は、バックアップの取得等により、電子データの原本の確
保・保管に配慮すること。
ウ 管理者は、対象者が情報資産を学外へ持ち出すことのないように
周知を図ること。情報資産を学外へ持ち出す者は、その取扱いにつ
いて、セキュリティに関し適切な対策を行うとともに、持ち出す際
の手続に関し別に定めがある場合には、それに従うこと。
エ 学内に情報資産を持ち込む者は、持ち込む機器、ソフトウェア、
メディア等に対し、適切なセキュリティ対策を行うこと。
オ システム、機器若しくは情報等を記録したメディアを廃棄又は返
却する者は、記録されている情報の消去に関し、適切な措置を講じ
ること。
(2) 人的セキュリティ
ア 管理者は、利用者に対し、必要なセキュリティの指導を行うこと。
イ 管理者は、情報資産を利用させるに当たって、利用資格、アク
セス権、アクセス方法等について検討し、適切な方法により利用
が可能となるようにすること。
ウ 管理者から情報資産の利用するために必要な情報(パスワード
等)を与えられた者は、その管理には十分な注意を払い、不正に
利用されることのないようにすること。
エ 情報資産を取り扱う者は、それが不用意に他者へ開示されてし
まうことのないように、適切に取り扱うとともに、保管等に注意
すること。
(3) 技術的セキュリティ
ア 管理者は、情報資産を利用させる場合、重要度に応じ、適切な
アクセス制限を行う仕組並びに不正なアクセスの防止及びその検
知手段等について検討し、必要な対策を講じること。
イ 管理者は、システム等のアクセスログ、操作ログ等について、
情報資産の重要度に応じ、当該ログの取得項目、保存期間等を定
めて保存すること。
ウ 管理者は、管理する機器・ソフトウェアについて、常にその構
成を把握し、セキュリティに係る更新、ウィルス対策等適切なセ
キュリティの維持に努めること。
(4) システム導入、移転及び撤去時におけるセキュリティ対策
ア 管理者は、システムの導入及びデータの作成を行う際には、そ
れらのセキュリティの確保について十分な検討を行い、必要な対
策を講じること。システムの運用及び保守並びにデータの保守を
行う際についても、同様とする。
イ 管理者は、システムの移転若しくは撤去又はデータの廃棄を行
う際には、個人情報等機密情報への対処を適切に行うこと。
ウ これらの業務を委託する場合、基本方針・対策基準の遵守等セ
キュリティ確保のために必要な事項を、仕様書、契約書等に明記
すること。
6 違反者への措置
対象者が、本ポリシーに違反した違反した場合には、校規等に基づき、
必要な処分を行うことがある。
7 監査
(1) セキュリティに係る監査については、学校法人明治大学総合情報シ
ステム管理規程第8条に定めるところにより実施するものとする。
(2) 対象者は、セキュリティに係る監査のほか、委員会等からのセキュ
リティの維持・向上にかかわる調査、依頼等に関して、協力しなけれ
ばならない。
8 事業継続計画との整合
CISOは、本ポリシー及び「Ⅰ 情報セキュリティ基本方針」の「5
情報セキュリティ関連校規等」の見直しを指示又は依頼するに際し、本
学における事業継続計画との整合性を確保すること。
9 兼務を禁止する役割
(1) 本ポリシーの対象者等は、本ポリシーの運用において、次の役割を
兼務してはならない。
ア 申請する者とその申請を承認する者
イ 監査を受ける者とその監査を実施する者
(2) 対象者は、承認等を申請する場合において、自らが承認権限者等で
あるときその他承認権限者等が承認等の可否の判断をすることが職務
上の利益相反行為となるおそれがあるときは、適切な者に承認等を申
請し、承認等を得ること。
(3) 前号に基づき承認等を行った者は、当該申請事案に限り、承認権者
に係る遵守事項等の義務を負う。
以 上