情報セキュリティポリシー

はじめに
 国立大学法人山梨大学において学術研究・教育活動を実施し、これを向上させていくためには、情報基盤の充実に加えて情報資産のセキュリティ確保が不可欠である。本学では、首相官邸に設置された情報通信技術戦略本部情報セキュリティ対策推進会議が平成12年7月18日に決定した「情報セキュリティポリシーに関するガイドライン」に基づき、平成17年4 月1 日に国立大学法人山梨大学情報セキュリティポリシーを定め、情報資産に対する適切な安全対策を実施することとした。

情報セキュリティ基本方針

高度情報化社会において、情報資産は国立大学法人山梨大学(以下「本学」という。)にとって最も重要な資産である。情報資産が守られなければ、本学の学術研究・教育活動の停滞や、本学に対する社会的信頼の喪失が生じる可能性がある。したがって、役員及び職員、学生、委託業者等(以下「職員等」という。)、すべての本学関係者が不断の努力をもって、情報資産を管理運用しなければならない。本学の情報資産を利用する者は、国立大学法人山梨大学情報セキュリティポリシー(以下「ポリシー」という。)を遵守する責任があり、意図の有無を問わず、学内外の情報資産に対する権限のないアクセスや改ざん、複写、破壊、漏洩等をしてはならない。

趣旨と位置付け

ポリシーは、次に掲げる事項を実施するため、本学の管理する情報資産を扱うに当たり、遵守しなければならない最低限の事項をまとめたものであり、本学の他の規程と同等の位置付けの文書とする。

  1. 本学の情報セキュリティに対する侵害を阻止する。
  2. 学内外の情報セキュリティを損ねる加害行為を抑止する。
  3. 情報資産を分類し、個々の実情に合わせて管理する。
  4. 必要に応じて情報セキュリティを評価し更新する。

用語の定義

ポリシーで使用する用語の定義は、次のとおりとする。

  1. 情報資産
    情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称
  2. 情報セキュリティ
    情報資産の機密性、完全性及び可用性を維持すること。
  3. 情報セキュリティインシデント
    情報資産の管理や運用に関して保安上の脅威となる現象や事案を指す。こうした事案には、ウイルス感染や不正アクセスによるサイバー攻撃、情報漏洩などが含まれる。
  4. 情報システム
    同一組織内において、ハードウエア、ソフトウエア、ネットワーク及び記録媒体で構成されるものであって、これら全体で業務処理等を行うもの。
  5. 情報セキュリティポリシー
    本学が所有する情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
  6. 情報セキュリティ基本方針(以下「基本方針」という。)
    本学における情報セキュリティ対策に対する根本的な考え方を表すもので、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、本学の情報セキュリティに対する取組姿勢を示すもの。
  7. 情報セキュリティ対策基準(以下「対策基準」という。)
    「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準、つまり「基本方針」を実現するために何をやらなければいけないかを示すもの。
  8. 情報セキュリティポリシー実施手順
    対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの

対象範囲と対象者

本学におけるポリシーの対象範囲は、本学が管理する機器、ネットワーク、一時的にネットワークに接続された機器及びそこに蓄積された情報資産である。ポリシーの対象者は、これらを利用するすべての者とする。

情報セキュリティ対策基準

情報セキュリティ組織等

○組織・体制
 本学における最高情報セキュリティ責任者は学長とする。学長は、情報セキュリティに関する総括的な意思決定を行い、学内外に対する責任を負うものとする。ポリシーの解釈に関しては、学長がすべての権利を保有し、学長による解釈をもってその最終決定とする。
 ポリシーの策定及び重要事項の決定は、学長の下に設置した総合情報戦略機構が行い、本学における情報セキュリティ対策を推進する。
 また、ポリシー監査班を設置して、情報資産が適正に管理されていることを継続的に監視するため、情報セキュリティ監査を実施する。
 情報システムの日常的な管理運営業務を円滑に実施するため、ネットワーク管理者グループ(以下「ネットワーク管理者」という。)と、学部等ごとの情報管理者グループ(以下「情報管理者」という。)を構成する。
 ネットワーク管理者は、総合情報戦略部長を管理責任者として、総合情報戦略部職員及び各学部等のサブネット管理者から構成される。
 情報管理者は、各学部等内における国立大学法人山梨大学個人情報管理規程で定められた個人情報保護管理者(以下「保護管理者」という。)と個人情報保護担当者(以下「保護担当者」という。)、学部等のサーバ管理者及びPC管理者から構成される。保護管理者が学部等内の責任者であり、保護担当者が事務的な補佐を行う。
 ネットワーク管理者と情報管理者は協力して、情報管理の実施、及び緊急時の対応等に当たるものとする。情報システムに関する一般的な情報セキュリティの啓発及び教育については、ネットワーク管理者が担当し、職員等に対する幅広い初心者教育を行う。

○情報セキュリティインシデント発生時の連絡体制
 インシデント発生時の連絡体制は以下のとおりとする。
 なお、そのインシデント事案がサイバー攻撃によるものである場合、最高情報セキュリティ責任者は、その被害に係る情報について、可能な限り速やかに文部科学省に報告するものとする。

情報セキュリティ侵害の阻止

不正アクセス等への対応

ネットワーク管理者は、外部または内部からの不正アクセスが検出された場合、緊急措置手順に従って関連する通信の遮断、又は該当する情報機器の切り離しを実施する。不正アクセスが継続する場合には、所定の手続きに基づいて、当該情報機器、又はそれを接続するネットワークに対し事態の警告を行い、かつ対策をとるよう勧告し、さらには、定常的な利用を停止するなどの抑止措置をとることができる。

アクセス制限

情報管理者は、情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するために必要なアクセス制限を行わなければならない。
職員等は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用してはならない。

学内外の情報セキュリティを侵害する行為の抑止

職員等は、学内外を問わず、あらゆる研究・教育機関、企業、組織、団体及び個人等の情報資産を侵害してはならない。また、情報セキュリティに関連する法令及び本学が定める規則等を遵守しなければならない。

情報資産の分類と管理

情報管理者は、情報資産をその内容に応じて分類し、その重要度に応じたセキュリティ管理対策を講じなければならない。

情報資産の管理者

情報管理者は、本学の管理する機器及び保管場所に保存された情報資産を管理しなければならない。本学の管理するネットワークに個人及び自主管理ドメインの機器を接続した場合、当該機器内の情報は、その機器及び自主管理ドメインの情報管理者と利用する職員等が管理しなければならない。

非公開情報資産

職員等は、個人情報、教育・研究、事務等の非公開情報を不当に利用してはならない。また、権限のない情報に対してアクセスしたり利用してはならない。
情報管理者は、情報資産を適切に管理し、情報の盗難・漏洩等を防止するため、非公開情報を扱う場合は、暗号化や盗聴防止策を講じることが望ましく、かつ盗難防止策を講じなければならない。さらに、情報が記録された媒体は、適切に管理しなければならない。

限定公開情報資産

情報管理者は、特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可された者が許可された操作だけを行えるように、認証及びアクセス制御等を実施しなければならない。また、非公開情報を扱う場合と同じく、暗号化や盗聴防止策を講じることが望ましく、かつ盗難防止策を講じなければならない。さらに、異常な登録、閲覧及び操作が行われていないか、定期的に調査・確認を行わなければならない。

公開情報資産

職員等は、あらゆる公開情報を不当に利用してはならない。
情報管理者は、情報資産を改ざん、破壊されないように適切に管理しなければならない。また、非公開情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分注意し、公開できる情報だけの抽出を行い、公開してよい形に加工しなければならない。情報が記録された媒体は、適切に管理しなければならない。

情報機器及び記憶媒体の処分

情報管理者は、情報機器及び記憶媒体を破棄する場合、記憶されている非公開・限定公開・公開等の情報の内容を問わず、その処分方法に注意しなければならない。

情報セキュリティ及びポリシーの評価と更新

情報セキュリティの評価と更新

本学の情報資産を守るためには、常に最新の情報を取得し、適切な物理的・技術的・人的セキュリティが実施されているか定期的に評価・調査・監査を実施しなければならない。改善が必要と認められた場合は、速やかに必要な財源を確保し情報セキュリティの更新を行わなければならない。

ポリシーの評価と更新

情報セキュリティの評価等とともに、ポリシーの実効性を定期的に評価し、改善が必要と認められた場合には、変更内容及び実施時期の決定を行い、セキュリティレベルの高い、かつ遵守可能なポリシーに更新しなければならない。

情報セキュリティポリシー実施手順

情報セキュリティポリシー実施手順は、別途定めるものとする。

平成17年4月1日制定
平成18年1月1日改正
平成21年4月1日改正
平成25年8月19日改正