情報セキュリティポリシー

本学では、広島大学情報セキュリティに関する規則に基づき、情報セキュリティポリシーとして基本方針、対策基準、実施手順及び関連規則を定め、学術研究、教育及び医療活動並びにこれらの活動を支援する事務・運営業務を行っています。

広島大学情報セキュリティポリシー

ポリシー(基本方針(全文))、対策基準(あらまし)

基本方針 

1.趣旨

高度情報化社会の進展に伴い、広島大学(以下「本学」という。)における学術研究、教育及び医療活動並びにこれらの活動を支援する事務・運営業務においては、データベース化、ネットワーク化に伴う情報通信技術への依存が高まっている。他方、その利便性と相反するコンピュータウィルス、不正アクセス、データの改ざん及び破壊などによる被害が増大するとともに、意図的な行為はもちろんのこと、また、知識の不足によって、本学が加害者となり得る状況となっている。このため、本学における情報セキュリティ対策として全学的に統一した基準を策定し、本学の情報資産の安全性及び信頼性を確保するとともに、社会的信用の失墜を予防することが重要な課題となっている。

本学は、これらの情報セキュリティ対策を実効性のあるものとするため、広島大学情報セキュリティポリシー(以下「ポリシー」という。)を策定するとともに、附属学校の適用対象者である児童・生徒に配慮した「広島大学附属学校情報セキュリティポリシー」を別に定める。また、本学と外部機関の共同事業に係る情報セキュリティ対策については、共同事業毎に情報セキュリティポリシーを定め、別表にも記載する。本学の全てのポリシー適用対象者が技術的な対策のみならず、危機管理という側面からも全学的に組織的な取り組みが必要であることを認識し、各々の立場でこのポリシーを遵守しなければならない。

なお、ポリシーの策定及び実施にあたっては、本学の教育・研究活動における学問及び表現の自由並びに通信の秘密を尊重しなければならない。

2.目的

 本学は、次に定める事項を継続的に組織として取り組むため、このポリシーを策定する。

  1. 不正アクセス、改ざん、破壊及び漏えい等から本学の情報資産を守り、情報セキュリティを確保すること。
  2. 学内外の情報セキュリティを損ねる加害行為を防止し、本学の社会的信頼を保つこと。
  3. 情報倫理に関する教育及び情報セキュリティに関する情報取得を支援すること。

3.構成及び取扱い

  1. このポリシーは、「基本方針」及び「対策基準」から構成される。
  2. 「基本方針」とは、本学の情報セキュリティ対策に対する根本的な考え方を表すものをいう。
  3. 「対策基準」とは、「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準をいう。
  4. ポリシーには含まれないが、「対策基準」に定められた内容を具体的に情報システムにおいて、どのような手順に従って実行していくのかを示したものを「実施手順」という。
  5. 「実施手順」は、「全学共通編」と「部局編」から構成される。「部局編」は、学部、研究科、専攻科、附置研究所、病院、図書館、教育本部、全国共同利用施設、中国・四国地区国立大学共同利用施設、学内共同教育研究施設、学内共同利用施設、附属学校、総合戦略室、グローバル化推進室、基金室、監査室、理事室、東広島地区運営支援部、霞地区運営支援部、オープンイノベーション事業本部、未来共創科学研究本部及びTown & Gown Office(以下「部局等」という。)で策定する。 ただし、運用上適当であるとCISO(最高情報セキュリティ責任者(Chief Information Security Officer)をいう。以下同じ。)が認めた場合は、運用の実態に即し、複数の部局等による同一「部局編」、又は同一の部局等内での複数の「部局編」も策定できるものとする。
  6. なお、「部局編」を変更した場合は、このポリシーの「対策基準」に定める情報セキュリティ推進機構に対し変更した「部局編」を速やかに提出すること。
  7. 「実施手順」は学外に公開してはならない。ただし、業務委託等のため「実施手順」を開示する必要がある場合は、当該法人と守秘義務契約を結んだ上で開示することができる。
  8. このポリシーの「対策基準」に定めるもののほか、部局等における業務の遂行にあたり、各業務の特性や実情に応じて、このポリシーの水準を越えて、別に対策基準を定めることができる。
    なお、組織・体制についてはこのポリシーを遵守しなければならない。

4. 適用範囲

  1. このポリシーの適用範囲は、本学の情報資産のみならず、本学以外の情報システムであっても、本学のネットワークに一時的に接続されたものまでを含む。ただし、別に定める「広島大学附属学校情報セキュリティポリシー」の適用範囲を除くものとする。
  2. 本学のネットワークに接続されていない状態であっても、本学の情報資産を保持している情報システムについては、その適用範囲に含む。

5. 適用対象者

このポリシー適用対象者は、本学の情報資産にアクセスする全ての者とする。なお、ポリシー適用対象者のうち、本学構成員を本学のポリシー適用対象者と呼び、本学の情報システムを使用する学外者を一時ポリシー適用対象者と呼ぶこととする。ただし、附属学校の児童・生徒については、別に定める「広島大学附属学校情報セキュリティポリシー」を適用するものとする。

6.組織・体制

本学における情報セキュリティを確保するため、CISOを置くとともに、そのもとに本学が一体となって情報セキュリティ対策を推進するための組織・体制を定め、その責任及び権限を明確にする。

7.情報の分類と管理

情報システムにおいて取り扱う情報について、重要情報を管理するため、重要度に応じた情報分類の定義、情報の管理責任及び管理方法等を定める。

8.物理的セキュリティ

情報システムの設置場所について、安全性を保ち、不正な立入りを阻止する対策を講じる。また、持ち運びを前提とした情報システムの情報資産を保護するための対策にも十分に配慮する。

9.人的セキュリティ

情報セキュリティに関する権限や責任を定め、ポリシー適用対象者にこのポリシーの内容を周知徹底するなど、十分な教育及び啓発が行われるよう、必要な対策を講じる。

10.技術的セキュリティ

本学の情報資産を学外又は学内からの不正なアクセスなどから適切に保護するため、情報資産へのアクセス制御、ネットワーク管理などの必要な対策を講じる。

11.運用

  1. このポリシーの実効性を確保するため、ポリシーの遵守状況の確認、ネットワークの管理などの運用面に関して必要な措置を講じる。
  2. 緊急事態が発生した際の迅速な対応を可能とするため、緊急時の対応計画を定める。

12.評価・見直し

このポリシー、情報セキュリティ対策の評価、情報システムの変更及び新たな脅威などを踏まえ、定期的にこのポリシーの評価・見直しを実施する。このため、情報セキュリティ監査などの必要な措置を定める。

13.個人情報の保護

個人情報の保護に関する関係法令及び個人情報の取扱いに関する各種ガイドライン等を遵守しなければならない。また、業務上の権限を有しない者は、許可なく個人情報を閲覧してはならない。

14.ポリシーの位置付け

このポリシーは、広島大学情報セキュリティ規則に基づき定められるものであり、ネットワークの不正使用等に対する懲戒及び処罰などを行う場合における正当性を保証するものである。

15.遵守

ポリシー適用対象者は、ポリシー、実施手順及びその他情報セキュリティに関する諸規則等を遵守しなければならない。

 

対策基準(あらまし)

対策基準は、本学における情報セキュリティ対策に関する具体的な事項が記載されているため、対策基準を学外へ公開することは情報セキュリティ上の脅威となります。 そのため、対策基準の全文は公開することが出来ませんが、ここでは対策基準に記載されている事項を紹介します。

  • 大学組織内の情報に関する組織体制について
  • 大学として守るべき情報とその方法について
  • セキュリティ教育などの人的な事項について
  • ファイアウォールなどの技術的な事項について
  • 平常時に行うべきことや事件・事故などが発生した際に行う事項について

また、対策基準を満たすための具体的な手法を「実施手順」として定めています。

 

広島大学附属学校情報セキュリティポリシー

ポリシー(基本方針(全文))、対策基準(あらまし)

基本方針

1.趣旨

Society 5.0においては,子供たちは情報や情報手段を主体的に選択し活用していくための基礎的な資質としての「情報活用能力」を身に付け,情報社会に対応していく力を備えることが重要となっている。令和2年度に小学校で実施され,令和3年度に中学校で,そして令和4年度に高等学校で実施される学習指導要領では,「情報活用能力」が言語能力などと同様に「学習の基盤となる資質・能力」と位置付けられ,各学校におけるカリキュラム・マネジメントを通じて,教育課程全体で育成するものとなった。加えて学習指導要領総則では,各学校においてコンピュータや情報通信ネットワークなどのICT環境を整備し,これらを適切に活用した学習活動の充実に配慮することが明記されている。

これらの方針のもと,令和元年度より文部科学省において「GIGAスクール構想」として1人1台端末と,高速大容量の通信ネットワークを一体的に整備することが実施され,広島大学附属学校(以下「附属学校」という。)においても(1) 全小学校,中学校および高等学校において全教室への無線LAN敷設を含む学習用通信ネットワーク(以下「学習用ネットワーク」という。)の整備,(2) 全小学生および中学生に1人1台端末(以下「学習用端末」という。)の整備,(3)学習用クラウド環境(以下「学習用クラウド」という。)の整備(児童・生徒に1人1アカウントを付与),の3点が実施された(この3点を以下では「学習用情報システム」という。)。

このような背景のもと,附属学校の児童・生徒が安心して安全にICT環境を利用して学習等活動を行うことができ,他方,コンピュータウィルス,不正アクセス,データの改ざん及び破壊などの被害を受けないように,さらに意図的な行為はもちろんのこと,知識の不足等によって,児童・生徒が加害者とならないようにするため,広島大学情報セキュリティポリシーの定めにより,附属学校において学習用情報システムの情報セキュリティ対策の統一した基準として広島大学附属学校情報セキュリティポリシー(以下「ポリシー」という。) を策定する。附属学校はこのポリシーを遵守し,学習用情報システムの情報セキュリティに組織的に取り組む。

なお,ポリシーの策定及び実施にあたっては,附属学校の教育・研究活動における学問及び表現の自由並びに通信の秘密を尊重しなければならない。  

2.目的  

 附属学校は,次に定める事項を継続的に組織として取り組むため,このポリシーを策定する。

  1. 不正アクセス,改ざん,破壊及び漏えい等から附属学校の学習用情報システムを守り,情報セキュリティを確保すること。
  2. 附属学校内外の情報セキュリティを損ねる加害行為を防止し,附属学校の社会的信頼を保つこと。
  3. 情報倫理に関する教育及び情報セキュリティに関する情報取得を支援すること。

3.構成及び取扱い

  1. このポリシーは,「基本方針」及び「対策基準」から構成される。
  2. 「基本方針」とは,附属学校の情報セキュリティ対策に対する根本的な考え方を表すものをいう。
  3. 「対策基準」とは,「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準をいう。
  4. ポリシーには含まれないが,「対策基準」に定められた内容を具体的にどのような手順に従って実行していくのかを示したものを「実施手順」という。
  5. 「実施手順」は附属学校外に公開してはならない。ただし,業務委託等のため「実施手順」を開示する必要がある場合は,当該法人と守秘義務契約を結んだ上で開示することができる。

4.適用範囲

このポリシーの適用範囲は,ドメイン名hiroshima-u.ed.jpに包含される学習用情報システム,すなわち附属学校の児童・生徒が用いる学習用ネットワーク,学習用ネットワークに接続される学習用端末,および全ての児童・生徒が1人1アカウントを持つ学習用クラウドとする。

5.適用対象者

このポリシー適用対象者は、本学の情報資産にアクセスする全ての者とする。なお、ポリシー適用対象者のうち、本学構成員を本学のポリシー適用対象者と呼び、本学の情報システムを使用する学外者を一時ポリシー適用対象者と呼ぶこととする。ただし、附属学校の児童・生徒については、別に定める「広島大学附属学校情報セキュリティポリシー」を適用するものとする。

6.組織・体制

附属学校における情報セキュリティを確保するため,附属学校最高情報セキュリティ責任者 (以下「附属学校CISO」という。) を置くとともに,そのもとに附属学校が一体となって情報セキュリティ対策を推進するための組織・体制を定め,その責任及び権限を明確にする。

7.物理的セキュリティ

情報システムの設置場所について,安全性を保ち,不正な立入りを阻止する対策を講じる。また,持ち運びや自宅等へ持ち帰って利用することを前提とした学習者用端末を保護するための対策にも十分に配慮する。

8.人的セキュリティ

情報セキュリティに関する権限や責任を定め,ポリシー適用対象者にこのポリシーの内容を周知徹底するなど,十分な教育及び啓発が行われるよう,必要な対策を講じる。

9.技術的セキュリティ

附属学校の学習用情報システムを,附属学校外又は附属学校内からの不正なアクセスなどから適切に保護するため,学習用情報システムへのアクセス制御,ネットワーク管理などの必要な対策を講じる。

10.運用

  1. このポリシーの実効性を確保するため,ポリシーの遵守状況の確認,ネットワークの管理などの運用面に関して必要な措置を講じる。
  2. 緊急事態が発生した際の迅速な対応を可能とするため,緊急時の対応計画を定める。

11.評価・見直し 

このポリシー,情報セキュリティ対策の評価,学習用情報システムの変更及び新たな脅威などを踏まえ,定期的にこのポリシーの評価・見直しを実施する。このため,情報セキュリティ監査などの必要な措置を定める。

12.個人情報の保護

個人情報の保護に関する関係法令及び個人情報の取扱いに関する各種ガイドライン等を遵守しなければならない。また,業務上の権限を有しない者は,許可なく個人情報を閲覧してはならない。

13.ポリシーの位置付け

このポリシーは,セキュリティ規則に基づき定められるものであり,ネットワークの不正使用等に対する懲戒及び処罰などを行う場合における正当性を保証するものである。

14.遵守

附属学校CISOは,ポリシー適用対象者に対して,ポリシー,実施手順及びその他情報セキュリティに関する諸規則等を遵守させなければならない。  

 

対策基準(あらまし)

対策基準は、附属学校における情報セキュリティ対策に関する具体的な事項が記載されているため、対策基準を学外へ公開することは情報セキュリティ上の脅威となります。 そのため、対策基準の全文は公開することが出来ませんが、ここでは対策基準に記載されている事項を紹介します。

  • 附属学校組織内の情報に関する組織体制について
  • 附属学校として守るべき情報とその方法について
  • セキュリティ教育などの人的な事項について
  • ファイアウォールなどの技術的な事項について
  • 平常時に行うべきことや事件・事故などが発生した際に行う事項について

また、対策基準を満たすための具体的な手法を「実施手順」として定めています。

 

組織体制(情報セキュリティ委員会、最高情報セキュリティ責任者、情報セキュリティ推進機構)

情報セキュリティに関する総括的な権限及び責任を有する最高情報セキュリティ責任者(CISO)を置き、重要事項について審議する情報セキュリティ委員会を設置し、各部局等に部局等情報セキュリティ責任者及び部局等情報セキュリティ組織を置いています。


up