情報セキュリティポリシー
1.趣旨
インターネットを中核とする情報通信技術(ICT)が,その利便性によって今や組織の活動にとどまらず,産業,行政,生活のあらゆる場面に活用されるようになった。情報通信技術(ICT)は,組織だけでなく個人の生活にも欠かすことのできない基盤として浸透しており,現代社会は情報通信技術(ICT)の円滑な稼動を前提として成立していると言っても過言ではない。
こうした情報通信技術(ICT)に対する依存度の高まりは,社会に大きな効果をもたらし,さらなる高度化を加速する一方,情報システムの障害や事故,あるいは不正な侵入者等にデータが破壊されることなどによって動作不能に陥った場合,社会的に大きな混乱を引き起こす危険性を有している。その安全性?信頼性の確保は高度情報通信社会の健全な発展においてきわめて重要な課題になっている。様々な組織において,情報通信技術(ICT)に依存する割合が高まっており,ネットワーク上の脅威から組織の保有する情報資産を保護する為の情報セキュリティ対策が求められている。そして,リスクを極小化し情報セキュリティを確保する取り組みは,情報通信技術(ICT)のメリットを享受して有効かつ効率的に事業を遂行し,さらなる発展を遂げるための前提条件となっている。
情報通信技術(ICT)を利用する上では,セキュリティへの漠然とした不安,トラブル発生に対する不明瞭な責任範囲,複雑なネットワーク設定?運用管理などの課題を克服することが必要である。そこで,情報通信技術基盤やネットワーク,ネットワークサービスで必要となるセキュリティ(機密性,完全性,可用性の確保)とその実現方法を正しく理解し,それにより情報の利用や活用の短期?中期?長期計画の中でのセキュリティ対策の導入を検討し,実施することが不可欠である。
国立大学法人東京外国語大学(以下「本学」という。)は,国際レベルの適切で高度な情報セキュリティ管理システムの導入と本学構成員の理解と協力により,本学の管理責任範囲に存在する重要な情報資産を内外の脅威から守るために,情報セキュリティポリシーを定める。
なお,この情報セキュリティポリシーでは基本方針を定め,情報セキュリティ対策基準及び情報セキュリティ実施手順は別に定める。対策基準は,基本方針に基づき,項目ごとに遵守すべき事項を網羅的に定めるものであり,実施手順は,対策基準に基づく具体的な手順を定めるものである。
また,本学の情報セキュリティポリシーは,以下の法令遵守を前提とする。
- (1)不正アクセス行為の禁止等に関する法律
- (2)知的財産権法(著作権法,工業所有権法等),不正競争防止法及び民法
- (3)独立行政法人等の保有する個人情報の保護に関する法律等
2.情報セキュリティの基本方針
2.1. 適用範囲
情報セキュリティポリシーの適用範囲は,次のような本学の情報資産全てとする。
- (1)本学の役員及び職員に関わる個人情報
- (2)本学の学生に関わる個人情報
- (3)本学の運営及び業務上重要となる情報
- (4)本学が所有または管理する情報機器に記録された全ての情報
- (5)本学が所有または管理する情報設備等(ハードウェア,ソフトウェア,ネットワーク設備等)
- (6)本学の施設?設備及びこれらの管理文書類
- (7)通信?電気?ガス?水道等のライフラインサービス及びこれらの管理文書類
2.2. 適用者
情報セキュリティポリシーの適用者は,次のような本学の情報資産を利用する者全てとする。
- (1)本学の役員及び職員
- (2)本学の非常勤講師及び非常勤職員等
- (3)本学滞在の国内外の研究者等
- (4)本学の学生,研究生,科目等履修生,聴講生等
- (5)本学で実施している研究事業の共同研究員及び研究協力者等
- (6)本学で就労する契約職員,派遣社員及び業務委託先の社員等
- (7)その他特別に許可された者で本学の情報資産を利用する者
2.3. 用語及び定義
情報セキュリティポリシーに関して使用する用語を次のとおり定義する。
- (1)情報セキュリティ基本方針
- 情報セキュリティ基本方針は,情報セキュリティポリシーの最上位に位置する文書であり,本学の情報セキュリティマネジメントにおける基本方針を記述したものである。
- (2)情報セキュリティ対策基準
- 情報セキュリティ対策基準は,基本方針に基づき,利用者毎に遵守すべき事項を定めたものである。
- (3)情報セキュリティ実施手順
- 情報セキュリティ実施手順は,対策基準に基づき,実施手順を具体的に記述したものである。
- (4)脅威
- 情報資産に影響を与え,損失を発生させる直接の要因。不正アクセスによる情報の改竄や破壊,ウィルスによる感染事故,自然災害による情報インフラの停止や過失による情報の漏洩や破壊などがある。
- (5)リスク分析
- セキュリティリスクの識別?評価を行い,情報資産に対する脅威の存在と脆弱性によるリスクの顕在化の可能性と影響度を分析すること。
- (6)脆弱性
- 情報資産が脅威にさらされる要因で,情報資産の置かれている環境や運用状況の不備?欠陥のこと。脆弱性それ自体は脅威ではないが,その脆弱性があることで脅威が発現することになる。
2.4. 情報セキュリティのマネジメント
本学は,情報セキュリティを管理?運営していくために,以下のような情報セキュリティマネジメントを推進する。
- (1)基本方針及び対策基準の策定
- 情報セキュリティポリシーの基本方針及び対策基準を策定する。実施手順は,対策基準に基づき,各部局が策定し運用する。
- (2)対策の実施及び教育?訓練
- 基本方針及び対策基準等に基づき,情報セキュリティ対策を計画し,実施する。同時に,本学の情報資産を利用する全ての者に対して,意識向上と技術レベル向上の両面から情報セキュリティの教育を行う。また、情報セキュリティインシデント発生時及び攻撃を受けた時に適切な対応を取ることができるようにするための訓練を行う。
- (3)点検?評価
- あらかじめ定めた間隔で対策の実施状況を点検?評価する。また,情報セキュリティに対する脅威,脆弱性を洗い出し,基本方針及び対策基準に反映させる。情報セキュリティに関して,情報資産の利用者からの情報収集活動も行う。
- (4)基本方針及び対策基準の改訂
- 点検?評価の結果に基づき是正?予防措置を講じるとともに,基本方針及び対策基準等を改訂する。
- (5)情報セキュリティ侵害時の対応
- 本学の情報セキュリティが侵害されたと判断される事象が判明した場合には,速やかに事前に定められた方法に従って対応する。
2.5. 情報セキュリティマネジメント体制
情報セキュリティマネジメント体制を次のとおり定める。
- (1)情報セキュリティ最高責任者(CISO)
- 情報セキュリティ最高責任者(CISO)は,全学の情報システムとともに本学全体の情報セキュリティマネジメントが最も有効に機能するように,総括的責任を持つ。
- (2)全学情報システムセキュリティ管理責任者
- 全学情報システムセキュリティ管理責任者は,全学情報システム(総合情報コラボレーションセンターシステム)とともに本学全体の情報セキュリティマネジメントが最も有効に機能するように,情報セキュリティ最高責任者(CISO)を補佐する。
- (3)部局情報セキュリティ管理責任者
- 部局情報セキュリティ管理責任者は,各部局を代表し,各部局の情報セキュリティマネジメントが有効に機能するように,情報セキュリティ最高責任者(CISO)を補佐する。
- (4)全学プロジェクト情報セキュリティ管理責任者
- 全学プロジェクト情報セキュリティ管理責任者は,部局を超えた全学的な各プロジェクト等を代表し,各全学プロジェクト等の情報セキュリティマネジメントが有効に機能するように,情報セキュリティ最高責任者(CISO)を補佐する。
- (5)情報マネジメント?オフィス
- 情報マネジメント?オフィス(以下「情報MO」という。)は,本学の情報セキュリティマネジメントを遂行する。
- (6)情報セキュリティインシデント対応チーム(CSIRT)
- 情報セキュリティインシデント対応チーム(CSIRT)は,インシデント発生の通知を受け,発生した事案に関連する組織と連携して,状況を把握?分析し適切な対応措置を実施するとともに、発生したインシデントの拡大、再発防止及び予測されるインシデントに対する予防措置を実施する。
2.6. 情報MOの役割
情報MOは,情報セキュリティマネジメント実施のための計画を作成し,その計画に沿って情報セキュリティマネジメントを実施する。たとえば,以下の業務を実施する。
- (1)遵守状況の調査,点検?評価及び改訂
- 情報セキュリティポリシーの基本方針及び対策基準の遵守状況を定期的に調査し,点検?評価を行う。また,情報セキュリティポリシーに対する意見や要望を収集し,必要に応じて内容の改訂を行う。
- (2)教育の実施
- 情報セキュリティに関する教育は,意識向上と技術向上の両面から継続的に実施する。
- (3)訓練の実施
- 情報セキュリティに関する訓練は,情報セキュリティインシデントが発生した際及び標的型メール等の攻撃を受けた際に適切な対応を取ることができるようにするため、継続的に実施する。
- (4)情報セキュリティポリシー違反者への措置
- 情報セキュリティポリシーに違反した行為が判明した場合,違反した者に対し,その重要度に応じた適切な対策を講じることとする。
- (5)役員会への報告
- 情報セキュリティの維持?管理状況,情報セキュリティポリシーの改訂状況及び情報セキュリティに関する事故や問題の発生状況や違反事例を役員会に報告しなければならない。
2.7. 違反時の措置
本学は,情報セキュリティポリシーの違反者に対し,厳格な措置をとるものとする。
2005年 3月22日制定
2008年 3月26日改定
2017年12月13日改定
2019年 3月20日改定
2023年 6月12日改定