大学案内

情報セキュリティポリシー

名古屋経済大学情報セキュリティポリシー

名古屋経済大学情報セキュリティポリシー

令和3年2月3日

Ⅰ 基本方針

1.情報セキュリティの基本方針

名古屋経済大学が保有・管理するすべての情報資産は、大学運営においては非常に重要であり、必要不可欠な資産である。
しかしながら、これらの情報資産が外部に漏えいするなどした場合、大学における教育活動・学術研究の停滞、および社会的信頼失墜などといった極めて重大な事態と被害を招くことになる。
このような事態を未然に防ぐため、教職員、学生、大学の委託業者等すべての関係者が不断の努力をもって、情報資産を保全しなければならない。大学の情報資産を利用する者は、この情報セキュリティポリシー(以下「本ポリシー」という。)を遵守する責任があり、意図の有無を問わず、大学内外の情報資産に対する権限のないアクセスや複写、また、改ざん、破壊、遺漏等をしてはならない。
本ポリシーは、大学の情報資産を利用する教職員、学生、委託業者等すべての関係者が遵守しなければならない最低限の事項をまとめたものである。

2.定義

本ポリシーでの用語の定義については、内閣官房情報セキュリティ対策推進室がとりまとめた「情報セキュリティポリシーに関するガイドライン」に定める定義と同様とする。

3.目標

本ポリシーは、大学における情報セキュリティの方針を示すものであり、本ポリシーによって目指すものは次のとおりである。
(a) 大学の情報セキュリティに対する侵害を阻止
(b) 大学内外の情報セキュリティを損ねる加害行為を抑止
(c) 情報資産に関して、重要度による分類とそれに見合った管理
(d) 情報セキュリティに関する情報の取得を支援

4.対象とする範囲

本ポリシーの対象設備は、大学が管理するすべての情報システム及びネットワークとこれらの設備に継続的または一時的に接続されるすべての端末機器および情報システムとする。

本ポリシーの対象情報は、大学が保有する情報資産のうち、情報システム及びネットワーク上で扱われるすべての電磁情報(電子的方式、磁気的方式、その他、人の知覚によっては認識することができない方式で作られる情報)およびそれらを印刷したものとする。
本ポリシーの対象者は、教職員、学生、委託業者、来訪者など対象設備のすべての利用者とする。

5.更新

本ポリシーは、情報技術の発展ならびに策定したポリシーの遵守度などを考慮して定期的に見直し、必要に応じて改定を行うものとする。

Ⅱ 対策基準

1.組織・体制

大学における情報セキュリティに関しての管理体制を整備するため、情報セキュリティに関する権限と責任を有する最高情報セキュリティ責任者を置く。また、最高情報セキュリティ責任者を補佐し、各所属における情報管理の実施及び緊急時の対応等にあたるため、情報セキュリティ管理者を置く。
最高情報セキュリティ責任者には理事長を、情報セキュリティ管理者には学長(事務局長が代行)をもって充てる。
情報セキュリティにかかる重大な事故等に対しては、最高情報セキュリティ責任者及び情報セキュリティ管理者及び名古屋経済大学情報センター長からなる会議を開催し、迅速な対策の実施及び再発防止のための対策を講じなければならない。
情報セキュリティにかかる会議の開催にあたっては、最高情報セキュリティ責任者はその他必要とする者の出席を求めることができるものとする。
また、情報基盤ネットワークシステムに支障を及ぼすおそれのあるあらゆる情報セキュリティインシデントに迅速に対処するため、情報センター長の元に情報セキュリティインシデント対応チーム(CSIRT:Computer Security Incident Response Team)を置く。

責任順位

  1. 最高情報セキュリティ責任者(理事長)
  2. 情報セキュリティ管理者(学長(事務局長が代行))
  3. 情報センター長
  4. 情報セキュリティインシデント対応チーム

2.守られるべき財産と権利

情報ネットワークや情報システムなどの資源は適正な利用によって保護されなければならない。
情報ネットワークや情報システムのデータを保護するため、情報セキュリティの保護、適切な情報セキュリティ機構の導入、迅速な回復機構の導入、システムの監視など適切な対策を行わなければならない。
ただし、私的利用によって生じたいかなる損失や障害についての責任は負わない。

3.情報セキュリティ侵害・加害行為の防止

大学は不正アクセスを高い確率で常時感知できる監視システムを構築するとともに、外部または内部からの不正アクセスを検出した場合には速やかに対応し、適切な対策を施さなければならない。
本ポリシーの対象となる者は、大学内外を問わず、あらゆる研究・教育機関、企業、組織団体、個人等の情報資産を侵害してはならない。また、本ポリシーの他、情報セキュリティに関連する法令、知的財産権に関連する法令及び法人が定める規程等を遵守しなければならない。

4.個人情報保護への対応

個人情報の保護に関連する法令は遵守しなければならない。

5.違反行為への対応

ポリシー等に違反した教職員が故意または重大な過失により大学に損害を与えた場合においては、名古屋経済大学教職員就業規則により処分を行う場合がある。
ポリシー等に違反した学生に対しては、大学の学則又は院則により処分を行う場合がある。

6.事故等への対応

情報セキュリティにかかる重大な事故等に対しては、大学事務局総務部総務及び情報センターが中心となり各部局の協力のもと迅速に対応するものとする。

7.情報の分類に応じた管理

すべての情報について、公開・非公開・発信・受信などの分類をするとともに分類に応じて定められた情報漏えいを促すソフトウェアやウイルス等に対する情報セキュリティ対策を講じなければならない。
情報の改竄および偽情報流布の防止のため原本性の保障や維持に努めなければならない。
情報の漏洩を防止するため情報機器および記録媒体を持ち込み・持ち出し・交換・破棄する場合には適切な処置をしなければならない。また、情報漏洩を促すソフトやウィルス等を検出した場合には適切な処置をしなければならない。

8.情報セキュリティ対策の実施

上述の対策基準を満たすため、本ポリシーおよび当ガイドラインに基づき、物理的、人的、技術的な情報セキュリティ対策の実施手順を別途定めて運用するものとする。

資料: 用語の説明

(内閣官房情報セキュリティ対策推進室:「情報セキュリティポリシーに関するガイドライン」による。)

  • 情報システム:同一組織内において、ハードウェア、ソフトウェア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。
  • 情報資産:情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称。
  • 情報セキュリティ:情報資産の機密性、完全性及び可用性を維持すること。 機密性とは、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。 完全性とは、情報及び処理方法の正確さ及び完全である状態を安全防護すること。 可用性とは、許可された利用者が、必要なときに情報にアクセスできることを確実にすること。
  • 情報セキュリティポリシー:当該法人が所有する情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
  • 情報セキュリティ実施手順等:ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの。
  • 大学:大学には名古屋経済大学、名古屋経済大学大学院、附属市邨幼稚園を含むものとする。