名古屋工業大学情報セキュリティポリシー
第1 基本的理念
情報化社会では、情報の伝達がこれまでとは比較にならないほど高速になり、瞬時に求める情報を入手できるとともに、情報を世界中に発信することが可能となった。名古屋工業大学(以下「本学」という。)は、情報化社会における本学及び本学構成員の個としての活動の活性化を推進するため、本学の情報資産管理に対する基本方針(以下「情報セキュリティポリシー」という。)をここに定める。
1 利便性との調和
大学は、社会に開かれた場であり、多くの研究者が集い、意見及び情報を自由に交換及び発信することを通じて学問の発展が促される。知識の自由な探求及び伝達のためには、場の公開性と利便性とが十分に確保されなければならない。
一方、情報化社会の健全な発展を図るためには、情報に関する適切なレベルのセキュリティ(以下「情報セキュリティ」という。)を確保することが必要であり、本学は、そのための適切な措置を講じる社会的責務を負っている。
情報セキュリティポリシーは、公開性・利便性と安全性という一見矛盾する要請の間で、本学及び本学の各構成員がそれぞれの立場で適切な判断を下すための指針を提供することを目的とする。
2 柔軟な運用と迅速な更新
情報セキュリティポリシーは、事前に詳細で硬直化した制限を設けるよりは、本学の各構成員が自己の責任の下に情報利用技術を利用して柔軟な行動をとることを奨励し、不合理で無限定な責任追及が行われないような活動環境を整備するものでなければならない。
情報セキュリティポリシーの詳細(以下「ガイドライン」という。)は、部局ごとに定めるとともに、定期的に見直しを行い、直面する問題の解決に柔軟に対応できるよう運用されなければならない。
3 情報公開の推進
本学及び本学の構成員は、本学が有する情報の発信に積極的に努め、情報セキュリティポリシー上明らかにできないもの以外は、原則として公開することとする。また、情報セキュリティに関する問題が発生した場合、更には問題が発生すると予測された時点で必要な措置を速やかに講じることは、本学の各組織及び構成員の責務であり、より安全で利便性の高い情報基盤の利用を享受できる環境の実現に向けて努力することが求められる。
4 情報セキュリティのレベルの維持
情報セキュリティに関する設備を導入し、運用することだけでは、情報セキュリティのレベルを維持することは不可能である。情報セキュリティポリシーを実施するのはあくまでも人であり、情報セキュリティのレベルを維持するためには、利用者の自覚と技能の維持及び向上が不可欠である。
第2 対策基準
1 情報資産の定義
情報セキュリティポリシーの対象となる情報資産とは、情報及び情報を管理する仕組みそのものを示す。具体的には、情報資産とは、ハードウエア、ソフトウエア、ネットワーク及び記録媒体から構成される情報システム並びに本学が有する情報である。なお、本学が有する情報のうち、電子的に記録された情報を特に「電子的情報」ということとする。
2 情報資産の分類と保護すべき情報資産
すべての情報資産は、各々の情報資産の機密性、完全性及び可用性を踏まえ、重要性について分類する。その情報資産の分類については、統合的・体系的かつ具体的に規定する。
保護すべき情報資産については、その管理者やレベルに応じた情報の管理・提供方式等について定めるものとするが、研究上の情報資産については、特に指定しない限り、情報セキュリティポリシーの対象としない。ただし、共同研究に係るものなど、開示できない又は開示することを制限された研究上の情報資産については、別に定めるものとする。
第3 管理体制・組織
1 基本的な考え方
本学は、情報セキュリティポリシーを実行するための部門(以下「情報セキュリティ組織」という。)を設置する。また、すべての部局において、情報セキュリティポリシーを実施及び管理する責任者(以下「情報セキュリティ管理者」という。)を設ける。なお、情報セキュリティポリシーで想定する部局とは、教育類、専攻、センター、研究室、事務局部課単位など、情報資産を維持又は管理する単位とする。
2 学内組織
- (1)情報セキュリティ組織は、情報セキュリティポリシーに基づく具体的事項について企画、立案、実施、管理及び継続的検討を行う。
- (2)部局においては、情報セキュリティポリシーを実施するため、情報資産の取扱レベルを定めるとともに、適切な運用が行われるよう管理するためのガイドラインを定めなければならない。
なお、情報セキュリティ組織及び部局においては、情報セキュリティポリシー及びガイドラインの継続的な見直しにも努めることとする。
第4 情報資産の管理
1 基本的な考え方
本学の構成員は、情報資産の取り扱いについて、情報セキュリティ及び個人情報保護に関する法令及び条約のほか、本学が定める諸規則、情報セキュリティポリシー及びガイドラインを遵守するものとする。
2 電子的情報の一元管理
電子的情報は、原則として、本学の情報管理を主任務とする担当部局(以下「情報担当部局」という。)において、一元保管されなければならない。情報担当部局は、部局又は担当者へ付与する電子的情報へのアクセス権の管理及びアクセスログ収集を実施するとともに、電子的情報の保全に努めなければならない。
3 情報資産の部局外への持ち出し
本学の構成員は、情報資産を部局外に持ち出す場合、決められた手順をとらなければならない。
4 機器の管理とセキュリティ対策
情報資産を構成する機器の管理については、以下の基準を満たす必要がある。
(1)セキュリティ対策
本学の構成員は、パーソナルコンピュータを含む様々な機器のセキュリティ上の問題を発見した場合、直ちに改善措置をとらなければならない。
(2)盗難対策
本学の構成員は、情報資産を保存する機器の盗難を防ぐため、施錠などの適切な管理を行わなければならない。
(3)特殊機器の接続
本学の構成員は、外部との接続を可能とする装置又は新たにネットワークを構築する装置などを導入する場合、情報セキュリティ組織の承認を得なければならない。
第5 教育及び報告
1 基本的考え方
本学の構成員は、不断の努力をもって、情報資産を保全しなければならない。
2 教育・研修制度
情報セキュリティ組織又は情報担当部局は、情報資産を取り扱うすべての構成員が情報セキュリティポリシー、ガイドライン及び各種規則等を理解できるようにするため、教育・研修制度を導入し、もって、情報セキュリティレベルを適切に維持することとする。
3 報告義務
情報セキュリティ管理者は、情報セキュリティに関する事故を発見した場合、又は情報セキュリティ組織の求めがあった場合、情報資産の状況を直ちに同組織に報告しなければならない。
平成17年3月8日制定
