公立大学法人横浜市立大学情報セキュリティ管理要綱 ( 目的 ) 第 1 条この要綱は 公立大学法人横浜市立大学情報セキュリティ管理規程 ( 以下 規程 という ) に基づき情報セキュリティ対策に関し必要な事項を定め 情報セキュリティの確保を図ることを目的とする ( 定義 ) 第 2 条この要綱において 次の各号に掲げる用語の意義は 規程第 2 条に定めるもののほか 当該各号に定めるところによる (1) サーバ等情報システムが 端末機に対し保有している機能やデータの提供 蓄積を行うコンピュータ及び周辺機器をいう (2) 端末機 ( クライアント ) 等ネットワークでサーバ等と接続するものや単独で使用するものなどの形態があるが 情報システムを使用するために必要なコンピュータ及び周辺機器をいう (3) ネットワーク機器等サーバ 端末機等を接続するための通信網 機器 維持及び管理するための情報セキュリティ機器などをいう (4) 基本ソフトウェアハードウェアを正常に動作させるために必要なソフトウェア及び情報セキュリティのためのソフトウェアをいう オペレーティングシステム ハードウェアの設定を行うためのソフトウェア ウイルス対策用ソフトウェアなどをさす (5) 業務ソフトウェア業務を行うためのソフトウェアをいう 文書作成用ソフトウェア 表計算ソフトウェア及びサーバ等から提供されたデータを表示するためのソフトウェアなどをさす (6) その他のソフトウェア基本ソフトウェア及び業務ソフトウェア以外のソフトウェアをいう ( 情報資産の分類及び管理 ) 第 3 条情報セキュリティ責任者は 情報資産の維持管理を行うため 別表に基づき情報資産を分類するとともに 情報資産管理台帳を作成し 常に最新の状態に保たなければならない また 当該分類に対する適切な情報セキュリティの水準を維持するために 次に掲げる対策を実施しなければならない (1) 情報システムを設置した場所への不正な立入り又は情報資産の持出し若しくは破壊等の物理的な侵害から情報資産を保護するための物理的なセキュリティ対策 (2) 情報セキュリティ対策の実施体制の整備及び周知徹底をはじめとした情報資産を取り扱う教職員 ( 公立大学法人横浜市立大学職員就業規則第 3 条第 1 項に規定された職員 ( 教育職員 一般職員及び派遣職員をいう )) に対する教育等の人的なセキュリティ対策 (3) 情報資産に対する不正アクセスの防止 コンピュータウイルス対策等の技術的なセキュリティ対策 2 情報セキュリティ責任者は 情報セキュリティ対策実施の徹底を図るため 所管する情報資産及び所管する情報資産に係わる全ての教職員に対して 自己点検用チェックリストを用いて情報セキュリティ対策の実施状況を年 1 回及び必要に応じ検査し 問題がある場合には 速やかに是正しなければならない また 検査結果を情報セキュリティ管理者へ報告しなければならない 3 情報セキュリティ責任者は 所管する情報資産を法人以外のものに提供する場合 提供を受ける者がデータ利用時に利用者の認証を行っているか 情報セキュリティに関する研修を実施しているかなど 提供を受ける者が十分な情報セキュリティ対策を行っていることをあらかじめ確認しなければならない 4 情報セキュリティ責任者は 情報システムの変更 新たな脅威等を踏まえ 定期的に評価 見直しを行わなければならない ( 物理的な情報セキュリティ対策 ) 第 4 条情報セキュリティ管理者は 情報資産を設置する建物や設備に関する情報セキュリティの確保を図るため 次の各号に掲げる事項について共通する物理的な情報セキュリティ対策を規定しなければならない (1) サーバ等の設置及び管理 1
(2) 端末機等の設置及び管理 (3) ネットワーク機器等の設置及び管理 (4) 記録媒体の管理 ( サーバ等設置場所の管理 ) 第 5 条別表中サーバ等の情報セキュリティ責任者は サーバ等を情報セキュリティ事故が起きにくい安全な場所に設置しなければならない 2 サーバ等の設置箇所については 情報資産の重要さに応じて次のような対策をとらなければならない (1) すべての出入口に施錠設備を備えた部屋に設置すること (2) サーバ等の設置場所であるようなことを示す表示をしないこと (3) 入退室管理を行うこと (4) 監視カメラを設置すること (5) 耐震 免震対策を施すこと (6) 消火設備の設置 ( サーバ等の管理 ) 第 6 条前条のサーバ等を管理する情報セキュリティ責任者は サーバ等を安全に運用するよう管理しなければならない 2 非開示情報を含むデータを保有するサーバ等の運用管理については 情報資産の重要さに応じて次のような対策をとらなければならない (1) 利用権限を持たない者が利用できないようにすること (2) 保守の記録を残すこと (3) 予備機の設置など あらかじめ障害発生時における対応手段 対応手順を記したマニュアルを準備しておくこと ( 端末機等の管理 ) 第 7 条別表中端末機等の情報セキュリティ責任者は 端末機等を安全に運用するよう管理しなければならない 2 非開示情報を含むデータを閲覧可能な端末機等の管理については 情報資産の重要さに応じて次のような対策をとらなければならない (1) 端末機の盗難防止対策を行うこと (2) 利用権限を持たない者が使用できないようにすること (3) ソフトウェアは 業務に必要なもののみに限定して導入すること (4) 利用者は 業務上必要な場合に限りログインすること また 離席時には 必ずログアウトすること ( 記録媒体の管理と廃棄 ) 第 8 条情報セキュリティ責任者は 情報資産の重要さに応じて データの滅失 き損に備え 復元に必要なデータを定期的に記録しておかなければならない 2 記録した媒体は 火災や地震に耐えられる安全な保管場所に保管しなければならない 3 非開示情報を含むデータを格納した持ち運びの容易な記録媒体は 利用しないときには施錠して保管しなければならない 4 媒体には 第三者が重要性を識別できないように留意しつつ 分類がわかるような表示をつけるものとする 5 記録媒体を廃棄する時には 第三者が復元できないようデータを完全に消去するか 物理的に破壊して廃棄するものとする ( 人的な情報セキュリティ対策 ) 第 9 条情報セキュリティ管理者は 過誤 盗難 不正行為又は設備の誤用など 人 に関わる情報セキュリティの確保を図るため 次の各号に掲げる事項について人的な情報セキュリティ対策を実施しなければならない 2
(1) 教職員に対する 情報セキュリティの重要性や規程等の内容を理解させるための研修 訓練等の実施 (2) 情報システムの開発 保守又は運用等の業務を外部事業者に委託する場合の 外部事業者が守るべき事項の規定 2 情報セキュリティ責任者は 所属する教職員に対し 情報セキュリティの重要性や規程等の内容を理解させるための教育 訓練等を実施しなければならない ( 技術的な情報セキュリティ対策 ) 第 10 条情報セキュリティ管理者は 不正アクセスやコンピュータウイルスからの情報資産の保護など情報システムの技術的処理方法に関わる情報セキュリティの確保のため 次の各号に掲げる事項について 法人に共通する技術的な情報セキュリティ対策を規定しなければならない (1) 情報資産をコンピュータウイルスから保護するために遵守しなければならない事項 (2) 情報資産を権限のない第三者による侵害から保護するために遵守しなければならない事項 ( データの管理 ) 第 11 条教職員は データを取り扱うにあたって 次のとおり扱わなければならない (1) 個人情報を含むデータア 横浜市個人情報保護に関する条例 ( 平成 21 年 3 月条例第 3 号 ) ( 以下 条例 という ) に従って取り扱うこと イ情報セキュリティ責任者によって利用を認められた教職員のみが取り扱うこと ウ情報セキュリティ責任者は 利用者の認証に関する管理を必ず行うこと (2) 個人情報を含まないデータア当該データについて守秘を定めた規程等がある場合 当該規程等に従って取り扱うこと イ情報セキュリティ責任者によって利用を認められた教職員のみが取り扱うこと ウ情報セキュリティ責任者は 利用者の認証に関する管理を必ず行うこと ( 情報システムの管理 ) 第 12 条情報セキュリティ責任者は 情報システムの管理を次のとおり行うものとする (1) 情報システム開発の管理ア情報システム管理記録の作成及び管理非開示情報を含むデータを扱う情報システムについて 当該情報システムの情報セキュリティ責任者は 当該情報システムに関する開発中の変更等の作業履歴を記録 管理し 保管すること イ情報システム開発環境の管理非開示情報を含むデータを扱う情報システムの開発の際には 当該情報システムの情報セキュリティ責任者は 必ず開発用の環境を用意し 本番環境とは切り離して管理すること ウ情報システムの情報セキュリティ責任者は テスト用のデータが実データに混入しないようにするなど テスト用のデータと実データを分離すること (2) ソフトウェアの管理ア教職員は 著作権 著作権その他の権利に配慮し プログラムの不正使用や無断改造等を行わないこと また 法人の保有する著作権 著作権その他の権利が侵害されないよう努めること イ非開示情報を含むデータを扱う情報システムについて 情報セキュリティ責任者は 当該情報システムの変更等の履歴を管理すること ウ非開示情報を含むデータを扱う情報システムについて 情報セキュリティ責任者は 当該情報システムの仕様書及び手順書を最新の状態で管理し 必要とする教職員がすみやかに閲覧できる状況の維持に努めるとともに 閲覧する権限のない者が閲覧することのないようにしなければならない エ常に最新の修正版を適用し セキュリティホールを造らないこと ( コンピュータウイルス対策 ) 3
第 13 条法人のコンピュータウイルス対策は 次のとおり実施するものとする (1) 法人のコンピュータウイルス対策の責任者は 情報セキュリティ管理者とする (2) 情報セキュリティ管理者は 情報システムに大きな被害を及ぼす恐れのあるコンピュータウイルスが発見された場合 教職員に周知しなければならない (3) 情報セキュリティ管理者は コンピュータウイルス対策の啓発を行い コンピュータウイルス被害の情報収集のためにコンピュータウイルス対策等窓口を設置しなければならない (4) 教職員は コンピュータウイルスによって引き起こされる情報漏えいやシステム破壊の被害を未然に防ぐよう努めなければならない (5) 教職員は 業務に無関係なホームページを閲覧してはならない (6) 情報セキュリティ責任者は 情報システムがコンピュータウイルスに感染するのを未然に防ぐため コンピュータウイルス対策ソフトを導入し 常に最新のパターンファイルを適用しなければならない (7) 情報セキュリティ責任者は コンピュータウイルスによる被害が発生した場合には すみやかにコンピュータウイルス対策等窓口あて報告しなければならない ( 利用者の認証 ) 第 14 条情報システムの利用者の認証は 次のとおり実施するものとする (1) 情報セキュリティ責任者が実施する対策ア利用者を特定する機能を持たせること イ利用者によってデータを利用する権限が異なる場合 利用者ごとに閲覧 操作可能なデータの範囲を設定できること ウ権限を持たない者がデータを利用することを防ぐこと 特に 利用者を特定するためのデータの管理は厳重にすること (2) 利用者が実施する対策アパスワード 認証用カード等が第三者に渡ることのないようにすること イパスワードを設定する場合 他人に類推されやすいパスワードの使用を避けること ウパスワード 認証用カード等が紛失などにより第三者に渡ったおそれがあるときには すみやかに利用停止等の手続きを行うこと ( 電子計算機結合 ) 第 15 条情報セキュリティ責任者は 法人の情報システムを法人以外のものと通信回線で結合する場合 不正アクセスや傍受への対策など 十分な情報セキュリティ対策を講じなければならない 2 前項の結合を行う場合には 情報セキュリティ責任者は 必要に応じて 結合を行おうとする情報システムを所有する者とデータの適正な取扱いに関する書面を取り交わすものとする 3 情報セキュリティ責任者は 非開示情報を含むデータを保有する情報システムを 法人以外のものと通信回線で結合する場合 情報セキュリティ対策の内容について あらかじめ情報セキュリティ管理者と協議しなければならない ( 使用状況の監視 ) 第 16 条情報セキュリティ責任者は 情報システムの不正使用を監視するため 以下の措置を講ずるものとする (1) 端末機等による非開示情報を含むデータの更新 検索等の操作の記録 ( アクセスログ ) を保存すること (2) 記録は一定期間保存し 定期的に点検を行うこと 2 インターネットを閲覧する情報システムは 利用者が閲覧したサイトを把握できるよう措置しなければならない ( 情報セキュリティ事故対策 ) 第 17 条情報セキュリティ管理者は 情報セキュリティ事故が発生した場合に備え 法人の事業及び事務の継続 4
が困難となることのないよう 次の各号に掲げる状況のほか発生し得る情報セキュリティ事故の状況を想定して 緊急対応手順 緊急連絡体制 応急措置等を定めた情報セキュリティ事故対策を策定しなければならない (1) 情報システムのハードウェア上の問題による情報システムの停止等 (2) 情報システムのソフトウェア上の問題による情報システムの停止等 (3) 法人が管理する非開示情報の漏えい又は破壊等 2 情報セキュリティ責任者は 所管する情報資産に関する情報セキュリティ事故について 必要に応じて対策を定めなければならない ( 情報セキュリティ対策実施手順 ) 第 18 条情報セキュリティ管理者は 規程及びこの要綱に基づく情報セキュリティ対策について それらの具体的な取組や実施方法等を記載した 情報セキュリティ対策共通実施手順 を定めなければならない 2 情報セキュリティ責任者は 所管する情報資産の情報セキュリティ対策について 情報セキュリティ対策共通実施手順 に加え 必要に応じて情報セキュリティ対策を定めなければならない 附則この要綱は 平成 24 年 4 月 1 日から施行する 5
別表 分類区分 大分類 中分類 小分類 サーバ等ハード ウェア 端末機等 情報セキュリティ責任者 法人が直接管理 運用を行うサーバ等 外部に委託して管理 運用を行うサーバ等 又は派遣契約により派遣された者が管理運用を行うサーバ等 法人が直接管理 運用を行う端末機等 当該機器を所管する所属の長 当該外部委託又は派遣契約を行う所属の長 当該機器を所管する所属の長 通信機器等 外部に委託して管理 運用を行う端末機等及び派遣契約により派遣された者に管理運用を行わせる端末機等 当該機器を所管する所属の長 当該外部委託又は派遣契約を行う所属の長 ソフト ウェア データ 基本ソフトウェア 当該ソフトウェアを所管する所属の長 業務ソフトウェア 当該ソフトウェアを所管する所属の長 その他のソフトウェア 当該ソフトウェアを所管する所属の長 非開示情報を含むデータ 非開示情報を含まないデータ 個人情報を含むデータ 個人情報を含まないデータ 非開示情報を含まないデータ 当該データを利用する業務を所管する所属の長 当該データを利用する業務を所管する所属の長 当該データを利用する業務を所管する所属の長 6