個人情報保護について
-
- 1. 総則
-
(1)制定の趣旨
当学園は、情報資産を保護する「情報セキュリティマネジメント」を実施するために、『情報セキュリティポリシー』を策定する。
『情報セキュリティポリシー』は、当学園の情報資産を、故意や偶然という区別に関係なく、改ざん、破壊、漏洩等から保護されるような管理策をまとめた文書であり、当学園の情報資産を利用する者は、情報セキュリティの重要性を十分に認知し、この『情報セキュリティポリシー』遵守しなければならない。
(2)用語の定義
『情報セキュリティポリシー』における用語は以下の通り定義する。
〇情報セキュリティ
情報の機密性、完全性及び可用性を維持すること。
注)機密性は、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること、として定義される。完全性は、情報及び処理方法の正確さ及び完全である状態を安全防護すること、として定義される。可用性は、許可されたユーザが、必要時に、必要な情報及び関連資産にアクセスできることを確実にすること、として定義される。
〇リスクアセスメント
情報及び情報処理施設/設備に対する脅威と重要度を特定し、事故発生につながる脆弱性及び事故のおこりやすさを評価すること。
〇リスクマネジメント
リスクアセスメントにより、情報及び情報処理施設/設備に影響を及ぼす可能性がある情報セキュリティリスクを明確にし、許容コストに応じて情報セキュリティリスクを制御し、最小限に抑制するか、又は除去するプロセスを指す。
〇脅威
自然災害、機器障害、悪意のある行為等、損失を発生させる直接の要因のこと。
〇脆弱性
ハードウェア?ソフトウェアの欠陥、定期点検の不備、要員教育の不備等、脅威を増加させる要因(脆さ、弱点)のこと。
(3) 適用範囲とそれぞれの責務
『情報セキュリティポリシー』の適用範囲は、当学園の情報資産に関連する人的?物理的?環境的リソースを含むものとする。
〇 適用者
適用者は当学園の職員?嘱託職員?非常勤職員(一時雇用者を含む)を職員と定義する。
『情報セキュリティポリシー』の適用者は、経営陣、職員を含めた、当学園の情報資産を利用するすべての者である。
〇 経営陣の責務
経営陣は、『情報セキュリティポリシー』の支持?支援を表明し、率先して情報セキュリティマネジメントを推進しなければならない。
〇 職員の責務
職員には、当学園の情報資産の使用を認めるが、それは、円滑な業務遂行の手段としての使用を認めることであり、私的利用を認めるものではない。
職員は、情報資産を扱う上で、企業利益の維持?向上および顧客満足のために、『情報セキュリティポリシー』に同意し、遵守しなければならない。また、これに違反した者は、その結果について責任を負わなければならない。
〇 外部委託業者に対する対応
『情報セキュリティポリシー』の適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべきセキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。
(4)体系
『情報セキュリティポリシー』は、以下の「情報セキュリティ基本方針」を含む3つの階層に分けて策定?管理される文書とする。
-
- 2. 情報セキュリティ
基本方針 -
(1)基本理念及び目的
情報システムは、学園において教育、研究、社会活動その他関連する業務を行うに当たって、必要不可欠なものであり、可能な限り自由に活用されるべきものである。
この情報システムを安全かつ効果的に運用していくためには、情報資産の安全性と健全性の確保に努め、これを保全していく必要がある。
学校法人佐野学園及びその設置学校(以下「本学園」という。)の職員、学生その他本学園の構成員は、情報資産の価値を十分に認識し、個人及び学園内の情報資産を守るだけでなく、他者及び学外に対する不正な情報提供、情報資産の侵害等が行われないように努め、本学園における情報システムの信頼性を高めていかなければならない。
本学園においては、上記を踏まえて、次の事項の実現を目的として情報セキュリティ基本方針(以下「基本方針」という。)及び情報セキュリティ対策基準(以下「対策基準」という。) からなる学校法人佐野学園情報セキュリティポリシー(以下「本ポリシー」という。)を制定し、本学園の全構成員に周知を図ることとする。
〇本学園に対する情報セキュリティ侵害を防止?抑止すること。
〇学園内外の情報セキュリティを損ねる行為を防止?抑止すること。
〇重要度に応じた情報資産の管理?運用を行うこと。
〇社会的な要請に対応した情報資産の管理?運用を行うこと。
なお、情報セキュリティを確保?維持するための方策及び手順は、技術の進展、社会情勢の変化、本学園の情報システムの変更等に応じて、適宜、見直しを行うとともに、本学園の全構成員にこれを周知し、理解と協力を求めていくこととする。
(2)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持すること。
(3) 情報資産
情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称
(4) 対象範囲及び対象者
本ポリシーの対象範囲は、次のとおりとする。
〇 本学園の管理するコンピュータ及びネットワーク
〇本学園の管理するネットワークに接続されたコンピュータ及びネットワーク機器ならびにその保有しているデータ
〇 本学園の諸活動に伴う業務委託先(アプリケーション?サーピス?プロバイダ等)において取り扱われるデータ
尚、本ポリシーの対象者(以下「対象者」という。)は、本学園において活動を行うすべての者とする。
(5)対象者の義務
対象者は、デジタルイノベーション推進室が定める対策基準及び実施手順のほか、情報セキュリティポリシーに関するガイドラインを遵守しなければならない。
(6)情報システムの管理者義務
〇 各情報システム管理責任者は、学園内外から、情報システムの不正使用、データの不正な利用等にかかわる苦情、通報等があった場合には、速やかに調査を行わなければならない。
〇 情報システム管理責任者は、調査の結果、不正が確認されたときは、別に定める実施手順等に基づき、関係する通信の遮断、該当する情報システムの切離し等の必要な措置を講ずるものとする。
(7) 利用者の義務
〇 情報システムを利用する者(以下「利用者」という。)は、学園内外に対して、情報セキュリティを損ねる行為をしてはならない。
〇 あらかじめ想定されていない事故又は行為によって情報セキュリティが侵害されたときは、利用者は、直ちに情報セキュリティ管理者を経て、情報システム管理責任者に連絡しなければならない。
〇 個人、研究室等で、利用者自らが直接管理する情報資産については、各利用者がそのセキュリティに関する責任を負うものとする。
- 2. 情報セキュリティ
-
- 3. 情報セキュリティ
対策基準 -
(1)組織?体制
情報セキュリティマネジメントを遂行する体制を以下の通り定める。
〇 デジタルイノベーション推進室
当学園の情報セキュリティを維持していくために、デジタルイノベーション推進室を設け、全学的なマネジメント体制を整えるものとする。デジタルイノベーション推進室の詳細情報に関しては、デジタルイノベーション推進室構成メンバーを参照のこと。
〇 デジタル戦略部
デジタル戦略部は、デジタルイノベーション推進室で決定した対策事項を実施及び推進する担当部署とする。
デジタル戦略部は、当学園の情報機器の管理責任を有し、当学園に関係するセキュリティ 情報収集を行い、学園内のセキュリティ対策に反映させなければならない。また、従業員から収集した情報を、必要に応じてデジタルイノベーション推進室に報告しなければならない。
〇 システムセキュリティ責任者
システムセキュリティ責任者は、デジタル戦略部に属し、システム管理者の作業責任を有する。システムセキュリティ責任者の役割は、システム管理者への作業指示?管理を行い、 システム管理者同士での作業の「相互牽制」及び「職務の分離」が有効に働くように配慮しなければならない。
〇 システム管理者
システム管理者は、デジタル戦略部に属し、システムセキュリティ責任者より与えられた管理作業の責任を有する。システム管理者の役割は、管理を依頼された情報機器に対して、セキュリティ対策を実施する現場レベルでの責任者である。
〇 オペレーター
オペレーターは、デジタル戦略チームに属し、システム管理者の管理下のもとで実質的な作業を行う者である。
〇 情報セキュリティ担当者
情報セキュリティ担当者は、各部署のジェネラルマネージャーによって最低一人は任命され、配置される者である。情報セキュリティ担当者の役割は、部門内におけるセキュリティ推進及び運用の点検結果の収集担当であり、収集した情報はデジタル戦略チームへ報告する。
〇 情報セキュリティ監査
情報セキュリティ監査は、運用部門とは独立した組織を構成する事を目的とする。監査人は、自部門業務を監査しない体制を確保する事が望ましい。
(2) 情報セキュリティインシデントへの対応
当学園の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。
(3) 情報セキュリティマネジメント及び情報資産の分類
当学園は、情報資産を保護するために、情報セキュリティマネジメントを以下の通り進めることとする。
<情報セキュリティマネジメントサイクル>
(4) リスク分析
当学園の情報資産に関するリスクアセスメント、リスクマネジメント全般は、デジタルイノベーション推進室が行うこととする。
(5) 情報セキュリティポリシー策定
『情報セキュリティポリシー』の策定?評価?レビューはデジタルイノベーション推進室が行うこととする。
デジタルイノベーション推進室では、方針および対策規程を策定することとする。
対策手順書に関しては、デジタルイノベーション推進室より指名された各情報システムの担当者が策定し、運用しなければならない。
(6) 対策の実施
当学園で策定した『情報セキュリティポリシー』に記述した対策は、計画的に実装しなければならない。デジタル戦略部は、セキュリティ対策実装のための計画書を策定し、デジタルイノベーション推進室の承認を得なければならない。
(7) 教育?啓蒙
当学園は、情報資産を扱うすべての者に対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティ教育を行うこととする。
当学園の情報資産に関わるすべての者は、当学園が実施する情報セキュリティの教育を受けなければならない。同時に、当学園の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ委員に提言することが望ましい。
(8) 評価
デジタルイノベーション推進室は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティポリシー』に反映させなければならない。それらは、監査の結果、情報資産の利用者から届けられた情報、情報セキュリティの脆弱性に関する情報の収集等の活動から得られる情報をもとに行われる場合もある。
(9) 文書の改廃
『情報セキュリティ方針』及び『情報セキュリティ基本方針』の改廃は、理事会の承認を必要とする。対策規程及び対策手順は、デジタルイノベーション推進室が承認する。
(10)違反時における罰則
当学園は、『情報セキュリティポリシー』の違反者に対し、厳格な措置をとることとする。デジタルイノベーション推進室は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じることとする。
(以上)
- 3. 情報セキュリティ