○国立大学法人福岡教育大学情報システム運用管理規程
(制定 平成20年3月14日)
改正
平成21年3月16日
平成22年3月23日
平成23年3月22日
平成24年3月30日
平成24年6月29日
平成24年12月21日
平成26年12月25日
平成29年1月27日
平成31年2月28日
令和3年12月23日
令和4年3月30日
令和5年5月19日
令和6年3月15日
第1章 総則
(目的)
第1条
この規程は,国立大学法人福岡教育大学情報セキュリティポリシー(以下「セキュリティポリシー」という。)に基づき,国立大学法人福岡教育大学(以下「法人」という。)における情報システムの運用及び管理に関する事項を定めることにより,法人の有する情報資産を適正に保護,活用し,並びに情報システムの信頼性,安全性及び効率性の向上に資することを目的とする。
(定義)
第2条
この規程において,次の各号に掲げる用語の定義は,当該各号に定めるところによる。
(1)
情報資産 組織の業務遂行(教育及び研究を含む。)に必要な情報及び情報を管理する仕組みの総称をいう。
(2)
情報システム ハードウェア及びソフトウェアから成るシステムであって,情報処理又は通信の用に供するものをいい,特に断りのない限り,本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。
(3)
情報ネットワーク 通信回線を利用して,複数の電子計算機及び情報ネットワーク機器を接続し,所定の通信様式に従って情報を送受信するための仕組みをいう。
(4)
情報ネットワーク機器 情報ネットワークの接続のために設置され,電子計算機により情報ネットワーク上を送受信される情報の制御を行うための装置(ファイアウォール,ルータ,スイッチングハブ,情報コンセント及び無線ネットワークアクセスポイントを含む。)をいう。
(5)
構成員 法人の情報資産を利用する以下の者とする。
ア
役員
イ
職員(委託,派遣職員等を含む。)
ウ
客員教授,共同研究者,非常勤講師等
エ
学生(研究生,科目等履修生等を含む。),生徒,児童及び幼児
オ
来学者,取引関係者等
カ
その他法人の情報資産を使用する者
(6)
役職員 前号のうち,ア及びイをいう。
(7)
部局 各学域,各センター,教育総合研究所,事務局各課,各附属学校園及び監査・業務改革室をいう。
(8)
電子計算機 コンピュータ全般のことを指し,オペレーティングシステム及び接続される周辺機器を含むサーバ装置及び端末をいう。
(9)
安全区域 法人の管理下にある区域(法人が外部の組織から借用している施設等における区域を含む。)であって,取り扱う情報を保護するために,施設及び執務環境に係る対策が必要な区域をいう。
(10)
主体認証 識別コードを提示した主体が,その識別コードを付与された主体,すなわち正当な主体であるか否かを検証することをいう。識別コードとともに正しい方法で主体認証情報が提示された場合に主体認証ができたものとして,情報システムはそれらを提示した主体を正当な主体として認識する。
(11)
主体認証情報 主体認証を行うために,構成員又は電子計算機が提示する情報のうち,情報システムが構成員又は電子計算機を正当な権限を有するものとして認識する情報をいう。
代表的な主体認証情報として,パスワードが挙げられる。
(12)
アカウント 主体認証を行う必要があると認めた情報システムにおいて,構成員又は電子計算機に付与された正当な権限をいう。
また,狭義には,構成員又は電子計算機に付与された識別コード及び主体認証情報(以下「パスワード等」という。)の組み合わせ,又はそれらのいずれかを指して「アカウント」という。
(13)
その他の用語の定義は,セキュリティポリシー及びその関連規程等の定めるところによる。
(適用範囲)
第3条
この規程は,情報資産及び情報システムを運用及び管理する者に適用する。
(組織体制)
第4条
法人の情報システムや情報戦略の最高責任者として最高情報責任者(以下「CIO」という。)を設置し,学長をもって充てる。
2
CIOは,全学の情報セキュリティに関する総括的な意思決定及び学内外に対して責任を負う最高情報セキュリティ責任者(以下「CISO」という。)を設置し,CIOが指名する理事をもって充てる。
3
CIOは,情報セキュリティ確保のため,独立性を有する者による情報セキュリティ監査を実施する情報セキュリティ監査責任者を設置し,監査・業務改革室長をもって充てる。
4
CISOは,情報セキュリティ対策に関する専門的な知識及び経験を有する立場から指導助言を行う最高情報セキュリティアドバイザーを設置し,委嘱する。
5
CISOは,全学のシステムを管理統括する者として全学システム管理責任者を設置し,学術情報センター長をもって充てる。
6
全学システム管理責任者は,法人ネットワーク及び対外接続システムの管理全般並びにネットワーク全体の整備計画等の立案等を行う全学ネットワーク管理責任者を設置し,学術情報副センター長をもって充てる。
7
全学システム管理責任者は,全学システム管理責任者が管理統括する全学システム並びに全学ネットワーク管理責任者が管理統括する法人ネットワーク及び対外接続システムの運用管理を行うために,全学システム・ネットワーク管理者を設置し,学術情報課職員をもって充てる。
8
全学システム管理責任者は,定められた区域ごとに,当該区域における施設及び環境に係る情報セキュリティ対策に関する事務を統括する区域情報セキュリティ責任者を設置し,国立大学法人福岡教育大学固定資産管理細則に定める監守者をもって充てる。
9
全学システム管理責任者は,情報セキュリティ対策の運用に係る管理を行うため,部局毎に情報セキュリティの責任者として部局システム管理責任者を設置し,各部局の長をもって充てる。
10
部局システム管理責任者は,各部局で所管する情報システムに対する情報セキュリティ対策の管理に関する事務の統括並びに個々の情報システム及び情報セキュリティの維持・管理のために部局システム管理者を設置し,部局から推薦された者をもって充てる。
(禁止事項)
第5条
全学システム・ネットワーク管理者及び部局システム管理者(以下「システム管理者等」という。)は,次に掲げる事項を行ってはならない。
(1)
情報資産の目的外利用
(2)
守秘義務に違反する情報の開示
(3)
全学ネットワーク管理責任者の許可なく情報ネットワーク上の通信を監視し,又は情報ネットワーク機器及び電子計算機の利用記録を採取する行為
(4)
全学ネットワーク管理責任者の要請に基づかずにセキュリティ上の脆弱性を検知する行為
(5)
その他法令に基づく処罰の対象となり,又は損害賠償等の民事責任を発生させる情報の発信
(6)
管理者権限を濫用する行為
(7)
上記各号の行為を助長する行為
第2章 情報システムのライフサイクル
第1節 設置時
(セキュリティホール対策)
第6条
システム管理者等は,電子計算機及び情報ネットワーク機器(公開されたセキュリティホールの情報がない電子計算機及び情報ネットワーク機器を除く。以下この項において同じ。)について,セキュリティホール対策に必要となる機器情報を収集して整備するとともに対策の実施結果を記録しなければならない。
2
システム管理者等は,電子計算機及び情報ネットワーク機器の構築又は運用開始時に,当該機器上で利用するソフトウェアに関連する公開されたセキュリティホールの対策を実施しなければならない。
(不正プログラム対策)
第7条
部局システム管理責任者は,不正プログラム感染の回避を目的とした構成員に対する留意事項を含む日常的実施事項を定めるものとする。
2
システム管理者等は,不正プログラムから電子計算機(当該電子計算機で動作可能なアンチウイルスソフトウェア等が存在しない場合を除く。以下この項において同じ。)を保護するため,アンチウイルスソフトウェアを導入する等の対策を実施しなければならない。
3
システム管理者等は,想定される不正プログラムの感染経路のすべてにおいてアンチウイルスソフトウェア等により不正プログラム対策を実施しなければならない。
(サービス不能攻撃対策)
第8条
システム管理者等は,要安定情報を取り扱う情報システムについては,サービス提供に必要な電子計算機及び情報ネットワーク機器が装備している機能をサービス不能攻撃対策に活用しなければならない。
(安全区域)
第9条
安全区域の運用管理に関する事項は,全学システム管理責任者が別に定める。
(規程及び文書の整備)
第10条
情報運用管理委員会は,電子計算機のセキュリティ維持に関する規程を整備するものとする。
2
システム管理者等は,すべての電子計算機に対して,電子計算機を管理する構成員を特定するための文書を整備しなければならない。
3
システム管理者等は,電子計算機関連文書を整備しなければならない。
4
全学ネットワーク管理責任者は,通信回線及び情報ネットワーク機器関連文書を整備しなければならない。
(主体認証と権限管理)
第11条
システム管理者等は,構成員が電子計算機にログオンする場合には主体認証を行うように電子計算機を構成しなければならない。
2
全学ネットワーク管理責任者は,ログインした構成員の識別コードに対して,権限管理を行うものとする。
(電子計算機の対策)
第12条
全学システム管理責任者は,電子計算機で利用可能なソフトウェアを定めるものとする。
ただし,利用可能なソフトウェアを列挙することが困難な場合には,利用不可能なソフトウェアを列挙,又は両者を併用することができるものとする。
2
システム管理者等は,要安定情報を取り扱う電子計算機については,当該電子計算機に求められるシステム性能を発揮できる能力を,将来の見通しを含め検討し,確保するものとする。
3
システム管理者等は,要保護情報を取り扱うモバイルPCについては,学外で使われる際にも,学内で利用される電子計算機と同等の保護手段が有効に機能するように構成するものとする。
(サーバ装置の対策)
第13条
全学システム・ネットワーク管理者は,通信回線を経由してサーバ装置の保守作業を行う場合は,暗号化を行う必要性の有無を検討し,必要があると認めたときは,送受信される情報を暗号化しなければならない。
2
システム管理者等は,サービスの提供及びサーバ装置の運用管理に利用するソフトウェアを定めるものとする。
3
システム管理者等は,利用が定められたソフトウェアに該当しないサーバアプリケーションが稼動している場合には,当該サーバアプリケーションを停止しなければならない。
また,利用が定められたソフトウェアに該当するサーバアプリケーションであっても,利用しないサービスは無効化して稼動させるものとする。
(通信回線の対策)
第14条
全学ネットワーク管理責任者は,通信回線構築によるリスク(物理的損壊又は情報の漏えい若しくは改ざん等のリスクを含む。)を検討し,通信回線を構築するものとする。
2
システム管理者等は,要安定情報を取り扱う情報システムについては,通信回線及び情報ネットワーク機器に求められる通信性能を発揮できる能力を,将来の見通しを含め検討し,確保するものとする。
3
システム管理者等は,通信回線に接続される電子計算機をグループ化し,それぞれ通信回線上で分離するものとする。
4
システム管理者等は,グループ化された電子計算機間での通信要件を検討し,当該通信要件に従って情報ネットワーク機器を利用しアクセス制御及び経路制御を行うものとする。
5
システム管理者等は,要機密情報を取り扱う情報システムについては,通信回線を用いて送受信される要機密情報の暗号化を行う必要性の有無を検討し,必要があると認めたときは,情報を暗号化するものとする。
6
全学システム・ネットワーク管理者は,要保護情報を取り扱う情報システムについては,通信回線に利用する物理的な回線のセキュリティを検討し,選択するものとする。
7
全学システム・ネットワーク管理者は,情報ネットワーク機器に対して,保守又は診断のために利用するリモートメンテナンスサービスによる接続についてセキュリティを確保しなければならない。
8
全学システム・ネットワーク管理者は,電気通信事業者の専用線サービスを利用する場合には,セキュリティレベル及びサービスレベルを含む事項に関して契約時に取り決めなければならない。
9
全学システム・ネットワーク管理者は,情報ネットワーク機器上でログ管理を行う必要性を検討し,必要と認めた場合には実施するものとする。
(情報コンセント)
第15条
全学ネットワーク管理責任者は,情報コンセントを設置する場合には,以下に挙げる事項を含む措置の必要性の有無を検討し,必要と認めたときは措置を講じなければならない。
(1)
利用開始及び利用停止時の申請手続の整備
(2)
通信を行う電子計算機の識別又は構成員の主体認証
(3)
主体認証記録の取得及び管理
(4)
情報コンセント経由でアクセスすることが可能な通信回線の範囲の制限
(5)
情報コンセント接続中に他の通信回線との接続の禁止
(6)
情報コンセント接続方法の機密性の確保
(7)
情報コンセントに接続する電子計算機の管理
(VPN,無線LAN,リモートアクセス)
第16条
全学システム・ネットワーク管理者は,VPN,無線LAN及びリモートアクセスの環境を構築する場合には,次の各号に掲げる事項を含む措置の必要性の有無を検討し,必要と認めたときは措置を講じるものとする。
(1)
VPN環境
ア
利用開始及び利用停止時の申請手続の整備
イ
通信を行う電子計算機の識別又は構成員の主体認証
ウ
主体認証記録の取得及び管理
エ
VPN経由でアクセスすることが可能な通信回線の範囲の制限
オ
VPN接続方法の機密性の確保
カ
VPNを利用する電子計算機の管理
(2)
無線LAN環境
ア
利用開始及び利用停止時の申請手続の整備
イ
通信内容の暗号化
ウ
通信を行う電子計算機の識別又は構成員の主体認証
エ
主体認証記録の取得及び管理
オ
無線LAN経由でアクセスすることが可能な通信回線の範囲の制限
カ
無線LANに接続中に他の通信回線との接続の禁止
キ
無線LAN接続方法の機密性の確保
ク
無線LANに接続する電子計算機の管理
(3)
リモートアクセス環境
ア
利用開始及び利用停止時の申請手続の整備
イ
通信を行う者又は発信者番号による識別及び主体認証
ウ
主体認証記録の取得及び管理
エ
リモートアクセス経由でアクセスすることが可能な通信回線の範囲の制限
オ
リモートアクセス中に他の通信回線との接続の禁止
カ
リモートアクセス方法の機密性の確保
キ
リモートアクセスする電子計算機の管理
(学外通信回線との接続)
第17条
全学ネットワーク管理責任者は,CISOの承認を得た上で,学内通信回線を学外通信回線と接続しなければならない。
なお,構成員による,学内通信回線と学外通信回線との接続は原則として禁止する。
2
全学ネットワーク管理責任者は,学内通信回線を学外通信回線と接続することにより情報システムのセキュリティが確保できないと判断した場合には,他の情報システムと共有している学内通信回線又は学外通信回線から独立した通信回線として学内通信回線を構築しなければならない。
(上流ネットワークとの関係)
第18条
全学ネットワーク管理責任者は,法人情報ネットワークを構築し運用するにあたっては,法人情報ネットワークと接続される上流ネットワークとの整合性に留意するものとする。
第2節 運用時
(セキュリティホール対策)
第19条
システム管理者等は,電子計算機及び情報ネットワーク機器の構成に変更があった場合には,セキュリティホール対策に必要となる機器情報を記載した書面を更新しなければならない。
2
システム管理者等は,管理対象となる電子計算機及び情報ネットワーク機器上で利用しているソフトウェアに関連する公開されたセキュリティホールに関連する情報を適宜入手しなければならない。
3
システム管理者等は,入手したセキュリティホールに関連する情報から,当該セキュリティホールが情報システムにもたらすリスクを分析した上で,以下の事項について判断し,セキュリティホール対策計画を作成するものとする。
(1)
対策の必要性
(2)
対策方法
(3)
対策方法が存在しない場合の一時的な回避方法
(4)
対策方法又は回避方法が情報システムに与える影響
(5)
対策の実施予定
(6)
対策テストの必要性
(7)
対策テストの方法
(8)
対策テストの実施予定
4
システム管理者等は,セキュリティホール対策計画に基づきセキュリティホール対策を講じるものとする。
5
システム管理者等は,セキュリティホール対策の実施について,実施日,実施内容及び実施者を含む事項を記録しなければならない。
ただし,この対策の実施が自動更新サービスによる場合はこの限りではない。
6
システム管理者等は,信頼できる方法で対策用ファイルを入手しなければならない。
また,当該対策用ファイルの完全性検証方法が用意されている場合は,検証を行うものとする。
7
システム管理者等は,定期的にセキュリティホール対策及びソフトウェア構成の状況を確認,分析し,不適切な状態にある電子計算機及び情報ネットワーク機器が確認された場合は必要な対策を行わなければならない。
8
システム管理者等は,入手したセキュリティホールに関連する情報及び対策方法を,他のシステム管理者等と共有するものとする。
(不正プログラム対策)
第20条
システム管理者等は,不正プログラムに関する情報の収集に努め,当該情報について対策の要否を決定し,特段の対策が必要な場合には,構成員にその対策の実施に関する指示を行うものとする。
2
システム管理者等は,不正プログラム対策の状況を適宜把握し,その見直しを行うものとする。
(脆弱性診断)
第21条
システム管理者等は,情報システムに関する脆弱性の診断を定期的に実施し,セキュリティの維持に努めなければならない。
(規程及び文書の見直し,変更)
第22条
情報運用管理委員会は,適宜,電子計算機のセキュリティ維持に関する規程等の見直しを行わなければならない。
また,当該規程等を変更した場合には,当該変更の記録を保存するものとする。
2
情報運用管理委員会は,適宜,通信回線を介して提供するサービスのセキュリティ維持に関する規定の見直しを行わなければならない。
また,当該規定を変更した場合には,当該変更の記録を保存するものとする。
3
各部局システム管理責任者は,電子計算機を管理するシステム管理者を変更した場合には,当該変更の内容を,電子計算機を管理するシステム管理者を特定するための文書へ反映しなければならない。
また,当該変更の記録を保存するものとする。
4
システム管理者等は,電子計算機の構成を変更した場合には,当該変更の内容を電子計算機関連文書へ反映しなければならない。
また,当該変更の記録を保存するものとする。
5
全学ネットワーク管理責任者は,通信回線の構成,情報ネットワーク機器の設定,アクセス制御の設定又は識別コードを含む事項の変更があった場合には,当該変更の内容を通信回線及び情報ネットワーク機器関連文書へ反映しなければならない。
また,当該変更の記録を保存するものとする。
(運用管理)
第23条
システム管理者等は,電子計算機のセキュリティ維持に関する規程等に基づいて,電子計算機の運用管理を行わなければならない。
2
全学ネットワーク管理責任者は,通信回線を介して提供するサービスについて,日常的及び定期的に運用管理を実施しなければならない。
(接続の管理)
第24条
全学ネットワーク管理責任者は,情報ネットワークに関する接続の申請を受けた場合は,申請者に対して接続の諾否を通知し必要な指示を行わなければならない。
(資源の管理)
第25条
情報運用管理委員会は,電子計算機のCPU資源,ディスク資源並びに情報ネットワーク帯域資源等の利用を総合的かつ計画的に推進するため,これらの資源を構成員の利用形態に応じて適切に分配し管理しなければならない。
(ネットワーク情報の管理)
第26条
システム管理者等は,全学ネットワーク管理責任者から割り当てを受けた,当該部局に係るIPアドレス等のネットワーク情報について,適切に管理しなければならない。
(サーバ装置の対策)
第27条
システム管理者等は,定期的にサーバ装置の構成の変更を確認しなければならない。
なお,変更があった場合において,サーバ装置に係るセキュリティへの影響が生じた場合は,影響を特定し対応しなければならない。
2
システム管理者等は,要安定情報を取り扱うサーバ装置に保存されている情報について,定期的にバックアップを取得するものとする。
また,取得した情報を記録した媒体は,安全に管理しなければならない。
3
システム管理者等は,サーバ装置の運用管理について,作業日,作業を行ったサーバ装置,作業内容及び作業者を含む事項を記録しなければならない。
4
システム管理者等は,サーバ装置上でログ管理を行う必要性を検討し,必要と認めた場合には実施しなければならない。
5
システム管理者等は,情報システムにおいて基準となる時刻に,サーバ装置の時刻を同期させなければならない。
(通信回線の対策)
第28条
全学システム・ネットワーク管理者は,通信回線を利用する電子計算機の識別コード(ホストID),電子計算機の構成員と当該構成員の識別コードの対応,及び通信回線の利用部局を含む事項の管理を行わなければならない。
2
全学システム・ネットワーク管理者は,定期的に通信回線の構成,情報ネットワーク機器の設定,アクセス制御の設定又は識別コードを含む事項の変更を確認しなければならない。
また,当該変更によって生ずる通信回線のセキュリティへの影響を特定し,対応しなければならない。
3
全学システム・ネットワーク管理者は,情報システムのセキュリティの確保が困難な事由が発生した場合には,他の情報システムと共有している通信回線から独立した閉鎖的な通信回線に構成を変更しなければならない。
4
全学システム・ネットワーク管理者は,全学ネットワーク管理責任者の許可を受けていない電子計算機及び情報ネットワーク機器を通信回線に接続させてはならない。
5
システム管理者等は,当該部局の管理対象にある要安定情報を取り扱う情報システムについて,日常的に,通信回線の利用状況及び状態を確認,分析し,通信回線の性能低下及び異常を推測又は検知するものとする。
6
システム管理者等は,当該部局の管理対象にある情報システムにおいて基準となる時刻に,情報ネットワーク機器の時刻を同期させなければならない。
(学外通信回線との接続)
第29条
全学ネットワーク管理責任者は,学内通信回線と学外通信回線の接続において情報システムのセキュリティの確保が困難な事由が発生した場合には,他の情報システムと共有している学内通信回線又は学外通信回線から独立した通信回線に構成を変更しなければならない。
2
全学ネットワーク管理責任者は,通信回線の変更に際し及び定期的に,アクセス制御の設定の見直しを行うものとする。
3
全学ネットワーク管理責任者は,定期的に,学外通信回線から通信することが可能な学内通信回線及び情報ネットワーク機器のセキュリティホールを検査しなければならない。
4
全学ネットワーク管理責任者は,学内通信回線と学外通信回線との間で送受信される通信内容を監視できるものとする。
第3節 運用終了時
(電子計算機の対策)
第30条
システム管理者等は,電子計算機の運用を終了する場合に,データ消去ソフトウェア若しくはデータ消去装置の利用,又は物理的な破壊若しくは磁気的な破壊等の方法を用いて,情報の復元が困難な状態にしなければならない。
(情報ネットワーク機器の対策)
第31条
システム管理者等は,情報ネットワーク機器の利用を終了する場合には,情報ネットワーク機器の内蔵記録媒体のすべての情報を復元が困難な状態にしなければならない。
第4節 PDCAサイクル
(情報システムの計画・設計)
第32条
部局システム管理責任者は,情報システムについて,ライフサイクル全般にわたってセキュリティ維持が可能な体制の確保を,全学システム管理責任者に求めるものとする。
2
部局システム管理責任者は,自らが管理する情報システムのセキュリティ要件を決定しなければならない。
3
CISOは,情報システムのセキュリティ要件を満たすために機器等の購入(購入に準ずるリースを含む。)及びソフトウェア開発において必要な対策,情報セキュリティについての機能の設定,情報セキュリティについての脅威への対策,並びに情報システムの構成要素についての対策について定めなければならない。
4
部局システム管理責任者は,構築した情報システムを運用段階へ導入するに当たって,情報セキュリティの観点から実施する導入のための手順及び環境を定めるものとする。
(情報システムの構築・運用・監視)
第33条
部局システム管理責任者は,情報システムの構築,運用及び監視に際しては,セキュリティ要件に基づき定めた情報セキュリティ対策を行うものとする。
(情報システムの移行・廃棄)
第34条
システム管理者等は,情報システムの移行及び廃棄を行う場合は,情報の消去及び保存,並びに情報システムの廃棄及び再利用について必要性を検討し,それぞれについて適切な措置を採るものとする。
(情報システムの見直し)
第35条
CISOは,情報システムの情報セキュリティ対策について見直しを行う必要性の有無を適時検討し,必要があると認めた場合にはその見直しを行い,必要な措置を講じなければならない。
第3章 情報の格付け及び取扱制限
(情報の格付け及び取扱制限)
第36条
情報の格付け及び取扱制限に関する事項は,学長が別途定める。
第4章 主体認証
(主体認証機能の導入)
第37条
全学システム管理責任者は,すべての情報システムについて,主体認証を行う必要性の有無を検討するものとする。
この場合,要保護情報を取り扱う情報システムについては,主体認証を行う必要性があると判断するものとする。
2
部局システム管理責任者は,主体認証を行う必要があると認めた情報システムにおいて,識別及び主体認証を行う機能を設けなければならない。
3
システム管理者等は,主体認証を行う必要があると認めた情報システムにおいて,主体認証情報を秘密にする必要がある場合には,当該主体認証情報が明らかにならないように管理しなければならない。
(1)
主体認証情報を保存する場合には,その内容の暗号化を行うものとする。
(2)
主体認証情報を通信する場合には,その内容の暗号化を行うものとする。
(3)
保存又は通信を行う際に暗号化を行うことができない場合には,構成員に自らの主体認証情報を設定,変更,提供(入力)させる際に,暗号化が行われない旨を通知しなければならない。
4
部局システム管理責任者は,主体認証を行う必要があると認めた情報システムにおいて,構成員に主体認証情報の定期的な変更を求める場合には,構成員に対して定期的な変更を促す機能のほか,以下のいずれかの機能を設けることが望ましい。
(1)
構成員が定期的に変更しているか否かを確認する機能
(2)
構成員が定期的に変更しなければ,情報システムの利用を継続させない機能
5
部局システム管理責任者は,主体認証を行う必要があると認めた情報システムにおいて,主体認証情報又は主体認証情報格納装置(以下「ICカード等」という。)を他人に使用され又は使用される危険性を認識した場合に,直ちに当該主体認証情報若しくはICカード等による主体認証を停止する機能又はこれに対応する識別コードによる情報システムの利用を停止する機能を設けなければならない。
6
システム管理者等は,主体認証を行う必要があると認めた情報システムにおいて,知識による主体認証方式を用いる場合には,以下の機能を設けること。
(1)
構成員が,自らの主体認証情報を設定する機能
(2)
構成員が設定した主体認証情報を他人が容易に知ることができないように保持する機能
7
システム管理者等は,主体認証を行う必要があると認めた情報システムにおいて,知識,所有,生体情報以外の主体認証方式を用いる場合には,以下の要件について検証した上で,当該主体認証方式に適用することが可能な要件をすべて満たさせなければならない。
また,用いる方式に応じて,以下を含む要件を定めるものとする。
(1)
正当な主体以外の主体を誤って主体認証しないこと。(誤認の防止)
(2)
正当な主体が本人の責任ではない理由で主体認証できなくならないこと。(誤否の防止)
(3)
正当な主体が容易に他人に主体認証情報を付与及び貸与ができないこと。(代理の防止)
(4)
主体認証情報が容易に複製できないこと。(複製の防止)
(5)
システム管理者等の判断により,ログオンを個々に無効化できる手段があること。(無効化の確保)
(6)
主体認証について業務遂行に十分な可用性があること。(可用性の確保)
(7)
新たな主体を追加するために,外部からの情報や装置の供給を必要とする場合には,それらの供給が情報システムの耐用期間の間,十分受けられること。(継続性の確保)
(8)
主体に付与した主体認証情報を使用することが不可能になった際に,正当な主体に対して主体認証情報を安全に再発行できること。(再発行の確保)
8
システム管理者等は,生体情報による主体認証方式を用いる場合には,当該生体情報を本人から事前に同意を得た目的以外の目的で使用してはならない。
また,当該生体情報について,本人のプライバシーを侵害しないように留意しなければならない。
9
全学システム管理責任者は,セキュリティ侵害又はその可能性が認められる場合,主体認証情報の変更を求め又はアカウントを失効させることができるものとする。
第5章 アクセス制御
(アクセス制御機能の導入)
第38条
全学ネットワーク管理責任者は,すべての情報システムについて,アクセス制御を行う必要性の有無を検討しなければならない。
この場合,要保護情報を取り扱う情報システムについては,アクセス制御を行う必要があると判断するものとする。
2
全学システム・ネットワーク管理者は,アクセス制御を行う必要があると認めた情報システムにおいて,アクセス制御を行う機能を設けなければならない。
(構成員による適正なアクセス制御)
第39条
部局システム管理責任者は,それぞれの情報システムに応じたアクセス制御の措置を講じるよう,構成員に指示しなければならない。
2
構成員は,情報システムに装備された機能を用いて,当該情報システムに保存される情報の格付けと取扱制限の指示内容に従って,必要なアクセス制御の設定をしなければならない。
(無権限のアクセス対策)
第40条
システム管理者等は,無権限のアクセス行為を発見した場合は,速やかに全学ネットワーク管理責任者に報告しなければならない。
全学ネットワーク管理責任者は,上記の報告を受けたときは,遅滞なくCISO及び全学システム管理責任者に報告しなければならない。
2
CISO及び全学システム管理責任者は,前項の報告を受けた場合は,必要に応じて新たな防止対策等の導入等必要な措置を講じるものとする。
第6章 アカウント管理
(アカウント管理機能の導入)
第41条
全学ネットワーク管理責任者は,すべての情報システムについて,アカウント管理を行う必要性の有無を検討しなければならない。
この場合,要保護情報を取り扱う情報システムについては,アカウント管理を行う必要があると判断するものとする。
2
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,アカウント管理を行う機能を設けなければならない。
(アカウント管理手続の整備)
第42条
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,アカウント管理について,以下の事項を含む手続を明確にしなければならない。
(1)
主体からの申請に基づいてアカウント管理を行う場合には,その申請者が正当な主体であることを確認するための手続
(2)
パスワード等の初期配布方法及び変更管理手続
(3)
アクセス制御情報の設定方法及び変更管理手続
2
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,アカウント管理を行う者を定めなければならない。
(共用アカウント)
第43条
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおける共用アカウントの利用許可については,情報システムごとにその必要性を判断するものとする。
2
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,アカウントを発行する際に,それが共用アカウントか,共用ではないアカウントかの区別を構成員に通知しなければならない。
(アカウントの発行)
第44条
全学ネットワーク管理責任者は,構成員からのアカウント発行申請を受理したときは,申請者が第60条第2項第3号による処分期間中である場合を除き,遅滞無くアカウントを発行しなければならない。
2
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,情報システムを利用する許可を得た主体に対してのみ,アカウントを発行しなければならない。
3
全学ネットワーク管理責任者は,アカウントを発行するにあたっては,期限付きの仮パスワードを発行する等の措置を講じるものとする。
4
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,管理者権限を持つアカウントを,業務又は業務上の責務に即した場合に限定して付与しなければならない。
5
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,業務上の責務と必要性を勘案し,必要最小限の範囲に限ってアクセス制御に係る設定をしなければならない。
(アカウント発行の報告)
第45条
全学ネットワーク管理責任者は,アカウントを発行したときは,速やかにその旨を部局システム管理責任者に報告するものとする。
2
CISOは,必要により全学ネットワーク管理責任者にアカウント発行の報告を求めることができる。
(アカウントの有効性検証)
第46条
全学ネットワーク管理責任者は,発行済のアカウントについて,次号に掲げる項目を適宜確認すること。
(1)
利用資格を失ったもの
(2)
部局システム管理責任者が指定する削除保留期限を過ぎたもの
(3)
パスワード手順に違反したパスワードが設定されているもの
2
全学ネットワーク管理責任者は,人事異動等,アカウントを追加又は削除する時に,不適切なアクセス制御設定の有無を点検しなければならない。
(アカウントの削除)
第47条
全学ネットワーク管理責任者は,第46条第1項第1号及び第2号に該当するアカウントを発見したとき,又は第60条第2項第3号による削除命令を受けたときは,速やかにそのアカウントを削除し,その旨を部局システム管理責任者に報告しなければならない。
2
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,構成員が情報システムを利用する必要がなくなった場合には,当該構成員のアカウントを削除し,その旨を部局システム管理責任者に報告するものとする。
3
全学ネットワーク管理責任者は,アカウント管理を行う必要があると認めた情報システムにおいて,構成員が情報システムを利用する必要がなくなった場合には,当該構成員に交付したICカード等を返還させ,その旨を部局システム管理責任者に報告するものとする。
4
部局システム管理責任者は,第1項から第3項の報告を受けたときは,速やかにその旨を構成員に通知しなければならない。
ただし,電話,郵便等の伝達手段によっても通知ができない場合はこの限りでない。
5
CISOは,必要により全学ネットワーク管理責任者にアカウント削除の報告を求めることができる。
(アカウントの停止)
第48条
全学ネットワーク管理責任者は,第46条第1項各号に該当するアカウントを発見したとき,第60条第2項第3号による停止命令を受けたとき,又は主体認証情報が他人に使用され若しくはその危険が発生したことの報告を受けたときは,速やかにそのアカウントを停止し,その旨を部局システム管理責任者に報告しなければならない。
2
部局システム管理責任者は,前項の措置の報告を受けたときは,速やかにその旨を構成員に通知しなければならない。
ただし,電話,郵便等の伝達手段によっても通知ができない場合はこの限りでない。
3
CISOは,必要により全学ネットワーク管理責任者にアカウント停止の報告を求めることができる。
(アカウントの復帰)
第49条
アカウントの停止を受けた構成員がアカウント停止からの復帰を希望するときは,その旨を部局システム管理責任者に申し出るものとする。
2
部局システム管理責任者は,前項の申し出を受けたときは,全学ネットワーク管理責任者に当該アカウントの安全性の確認及びアカウントの復帰を申請するものとする。
3
全学ネットワーク管理責任者は,前項の申請に基づき当該アカウントの安全性を確認したうえで速やかにアカウントを復帰させるものとする。
(管理者権限を持つアカウントの利用)
第50条
管理者権限を持つアカウントを付与された者は,管理者としての業務遂行時に限定して,当該アカウントを利用しなければならない。
第7章 ログ管理
(ログ管理機能の導入)
第51条
全学システム管理責任者は,すべての情報システムについて,ログ管理を行う必要性の有無を検討するものとする。
2
システム管理者等は,ログを取得する必要があると認められた情報システムについて,ログ管理のためにログを取得する機能を設けなければならない。
3
システム管理者等は,ログを取得する必要があると認めた情報システムにおいては,事象をログとして記録するに当たり,事象ごとに必要な情報項目を記録するように情報システムの設定をするものとする。
4
システム管理者等は,ログを取得する必要があると認めた情報システムにおいては,ログが取得できなくなった場合及び取得できなくなるおそれがある場合の対策方針を整備し,必要に応じ,これらの場合に対応するための機能を情報システムに設けるものとする。
5
システム管理者等は,ログを取得する必要があると認めた情報システムにおいては,取得したログに対して不当な消去,改ざん及びアクセスがなされないように,取得したログについてアクセス制御を行い,外部記録媒体等その他の装置並びに媒体に記録したログについてはこれを適正に管理するものとする。
(システム管理者等によるログの取得と保存)
第52条
システム管理者等は,ログを取得する必要があると認めた情報システムにおいては,システムに設けた機能を利用して,ログを記録するものとする。
2
システム管理者等は,その管理する情報システムにおいてログを取得する必要があると認めた場合は,取得したログの保存期間を定め,当該保存期間が満了する日までログを保存し,保存期間を延長する必要性がない場合は,速やかにこれを消去しなければならない。
3
システム管理者等は,その管理する情報システムにおいてログを取得する必要があると認めた場合おいて,ログが取得できない場合又は取得できなくなるおそれがある場合は,定められた対策を行わなければならない。
(ログ管理に関する構成員への周知)
第53条
部局システム管理責任者又は全学ネットワーク管理責任者は,ログを取得する必要があると認めた情報システムにおいて,構成員に対して,ログの取得,保存,点検及び分析を行う可能性があることをあらかじめ説明しなければならない。
(通信の監視)
第54条
構成員によるネットワークを通じて行われる通信の傍受は禁止する。
2
CISO又は全学システム管理責任者は,セキュリティ確保のため,全学ネットワーク管理責任者に,ネットワークを通じて行われる通信の監視(以下「監視」という。)を行わせることができるものとする。
3
CISO又は全学システム管理責任者は,監視の範囲をあらかじめ具体的に定めておかなければならない。
ただし,不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処するために特に必要と認められる場合,CISO又は全学システム管理責任者は,セキュリティ侵害の緊急性,内容及び程度に応じて,対策のために不可欠と認められる情報について,監視を行うよう命ずることができる。
4
全学ネットワーク管理責任者は,監視によって知った通信の内容又は個人情報を,他人に伝達してはならない。
ただし,前項ただし書きに定める情報については,CISO及び全学システム管理責任者並びに情報運用管理委員会に報告しなければならない。
5
CISO又は全学システム管理責任者は,全学ネットワーク管理責任者に対して,監視記録を保存する期間をあらかじめ指示するものとする。全学ネットワーク管理責任者は,指示された期間を経過した監視記録を直ちに破棄しなければならない。
ただし,監視記録から個人情報に係る部分を削除して,ネットワーク運用及び管理のための資料とする場合はこの限りではない。
6
CISO,全学システム管理責任者,全学ネットワーク管理責任者及び情報運用管理委員会は,ネットワーク運用及び管理のために必要な範囲で,これを閲覧し,かつ,保存することができるものとする。
なお,不必要となった監視記録は,直ちに破棄しなければならない。また,監視記録の内容を,法令に基づく場合等を除き,他人に伝達してはならない。
(利用記録)
第55条
複数の者が利用する情報機器の管理者は,当該機器に係る利用記録(以下「利用記録」という。)をあらかじめ定めた目的の範囲でのみ採取することができるものとする。
当該目的との関連で必要性の認められない利用記録を採取してはならない。
2
前項に規定する目的は,法令の遵守,情報セキュリティの確保,課金その他当該情報機器の利用に必要なものに限る。
この場合において,個人情報の取得を目的とすることは禁止する。
3
当該情報機器の管理者は,第1項の目的のために必要な範囲で利用記録を閲覧することができる。
この場合において,他人の個人情報及び通信内容を不必要に閲覧してはならない。
4
当該情報機器の管理者は,第2項に規定する目的のために必要な範囲内で利用記録を他人に伝達することができる。
5
第1項の規定により情報機器の利用を記録しようとする者は,第2項の目的,これによって採取しようとする利用記録の範囲及び前項により利用記録を伝達する者を,あらかじめ部局システム管理責任者に申告し,かつ,当該情報機器の管理者に開示しなければならない。
部局システム管理責任者は,申告の内容が不適切と認めるときは,これを修正させるものとする。
6
当該情報機器の管理者又は利用記録の伝達を受けた者は,第1項の目的のために必要な範囲内で,これを保有することができる。
なお,不要となった利用記録は,直ちに破棄しなければならない。ただし,当該情報機器の管理者は,利用記録から個人情報に係る部分を削除して,ネットワーク運用及び管理のための資料とする場合はこの限りではない。
(個人情報の取得と管理)
第56条
電子的に個人情報の提供を求める場合は,提供を求める情報の範囲,利用の目的,その情報が伝達される範囲を,あらかじめ相手方に示さなければならない。
2
前項の個人情報は,当人の請求により開示,訂正又は削除をしなければならない。
また,そのための手続を示さなければならない。
(構成員が保有する情報の保護)
第57条
構成員が保有する情報は,ネットワーク運用に不可欠な範囲又はインシデント対応に不可欠な範囲において,閲覧,複製又は提供することができる。
第8章 暗号及び電子署名
(暗号化機能及び電子署名の付与機能の導入)
第58条
システム管理者等は,要機密情報(書面を除く。以下この項において同じ。)を取り扱う情報システムについて,暗号化を行う機能を付加する必要性の有無を検討するものとする。
2
システム管理者等は,暗号化を行う必要があると認めた情報システムには,暗号化を行う機能を設けなければならない。
3
システム管理者等は,要保全情報を取り扱う情報システムについて,電子署名の付与を行う機能を付加する必要性の有無を検討するものとする。
4
システム管理者等は,電子署名の付与を行う必要があると認めた情報システムには,電子署名の付与を行う機能を設けなければならない。
5
システム管理者等は,暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて,アルゴリズムを選択するに当たっては,必要とされる安全性及び信頼性について検討を行い,電子政府推奨暗号リストに記載されたアルゴリズムが選択可能であれば,これを選択するものとする。
ただし,新規(更新を含む。)に暗号化又は電子署名の付与のアルゴリズムを導入する場合には,電子政府推奨暗号リスト又は,法人における検証済み暗号リストがあればその中から選択しなければならない。なお,複数のアルゴリズムを選択可能な構造となっている場合には,少なくとも一つをそれらのリストの中から選択するものとする。
(暗号化及び電子署名の付与に係る管理)
第59条
システム管理者等は,暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて,暗号化された情報の復号又は電子署名の付与に用いる鍵について,鍵の生成手順,有効期限,廃棄手順,更新手順,鍵が露呈した場合の対応手順等を定めなければならない。
2
システム管理者等は,暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて,暗号化された情報の復号又は電子署名の付与に用いる鍵について,鍵の保存媒体及び保存場所を定めなければならない。
3
システム管理者等は,電子署名の付与を行う必要があると認めた情報システムにおいて,電子署名の正当性を検証するための情報又は手段を署名検証者へ提供しなければならない。
第9章 違反と例外措置
(違反への対応)
第60条
全学システム管理責任者は,情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には,速やかに調査を行い,事実を確認しなければならない。
事実の確認にあたっては,可能な限り当該行為を行った者の意見を聴取するものとする。
2
全学システム管理責任者は,調査によって違反行為が判明したときには,次号に掲げる措置を講じるものとする。
(1)
当該行為者に対する当該行為の中止命令
(2)
システム管理者等に対する当該行為に係る情報発信の遮断命令
(3)
システム管理者等に対する当該行為者のアカウント停止命令,又は削除命令
(4)
法人の懲罰委員会への報告
(5)
その他法令に基づく措置
3
全学システム管理責任者は,情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合及び上記の措置を講じた場合は,遅滞無くCISOにその旨を報告すること。
(例外措置)
第61条
情報運用管理委員会は,例外措置の適用の申請を審査する者(以下「許可権限者」という。)を定め,審査手続を整備するものとする。
2
許可権限者は,職員による例外措置の適用の申請を定められた審査手続に従って審査し,許可の可否を決定するものとする。
また,決定の際に,別表1に掲げる例外措置の適用審査記録を整備し,CISOに報告するものとする。
3
許可権限者は,例外措置の適用を許可した期間の終了期日に,許可を受けた者からの報告の有無を確認し,報告がない場合には,許可を受けた者に状況を報告させ,必要な対応を講じなければならない。
ただし,許可権限者が報告を要しないとした場合は,この限りでない。
第10章 インシデント対応
(インシデントの発生に備えた事前準備)
第62条
CISOは,情報セキュリティに関するインシデント(故障を含む。以下第68条までにおいて同じ。)が発生した場合,被害の拡大を防ぐとともに,インシデントから復旧するための体制を整備しなければならない。
2
全学システム管理責任者は,インシデントについて構成員からの報告手順を整備し,当該報告手段をすべての構成員に周知するものとする。
3
全学システム管理責任者は,インシデントが発生した際の対応手順を整備するものとする。
4
全学システム管理責任者は,インシデントに備え,法人の教育研究及び事務の遂行のため特に重要と認めた情報システムについて,緊急連絡先,連絡手段,連絡内容を含む緊急連絡網を整備しなければならない。
5
全学システム管理責任者は,インシデントについて学外から報告を受けるための窓口を設置し,その窓口への連絡手段を学外に公表しなければならない。
(インシデントの原因調査と再発防止策)
第63条
全学システム管理責任者は,インシデントが発生した場合には,インシデントの原因を調査し再発防止策を策定し,その結果を報告書としてCISOに報告しなければならない。
2
CISOは,全学システム管理責任者からインシデントについての報告を受けた場合には,その内容を検討し,再発防止策を実施するために必要な措置を講じなければならない。
第11章 法人支給以外の情報システム
(法人支給以外の情報システムにかかる安全管理措置の整備)
第64条
全学システム管理責任者は,要保護情報について法人支給以外の情報システムにより情報処理を行う場合に講ずる安全管理措置についての規定の整備をしなければならない。
(法人支給以外の情報システムの利用許可及び届出の取得及び管理)
第65条
システム管理者等は,法人支給以外の情報システムによる要保護情報の情報処理に係る記録を取得しなければならない。
2
システム管理者等は,要保護情報(機密性2情報を除く。)について法人支給以外の情報システムによる情報処理を行うことを許可した期間が終了した時に,許可を受けた者から終了した旨の報告がない場合には,その状況を確認し,対応を講じなければならない。
ただし,許可を与えた者が報告を要しないとした場合は,この限りでない。
3
システム管理者等は,機密性2情報について法人支給以外の情報システムによる情報処理を行うことを届け出た期間が終了した時に,必要に応じて,その状況を確認し,対応を講じるものとする。
第12章 学外の情報セキュリティ水準の低下を招く行為の禁止
(学外の情報セキュリティ水準の低下を招く行為の防止)
第66条
全学システム管理責任者は,学外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規定の整備をしなければならない。
第13章 教育及び研修
(情報セキュリティ対策の教育)
第67条
全学システム管理責任者は,情報セキュリティ関係規程について,部局システム管理責任者,システム管理者等及び構成員(以下「教育啓発対象者」という。)に対し,その啓発をするものとする。
2
全学システム管理責任者は,情報セキュリティ関係規程について,教育啓発対象者に教育すべき内容を検討し,教育のための資料を整備するものとする。
3
全学システム管理責任者は,教育啓発対象者が毎年度受講できるように,情報セキュリティ対策の教育に係る計画を企画,立案するとともに,その実施体制を整備するものとする。
4
全学システム管理責任者は,教育啓発対象者の入学時,着任時,異動時に3箇月以内に受講できるように,情報セキュリティ対策の教育を企画,立案し,その体制を整備するものとする。
5
全学システム管理責任者は,教育啓発対象者の情報セキュリティ対策の教育の受講状況を管理できる仕組みを整備するものとする。
6
全学システム管理責任者は,教育啓発対象者の情報セキュリティ対策の教育の受講状況について,当該教育啓発対象者の所属する部局の部局システム管理責任者に通知するものとする。
7
部局システム管理責任者は,教育啓発対象者の情報セキュリティ対策の教育の受講が達成されていない場合には,未受講の者に対して,その受講を勧告するものとする。
教育啓発対象者が当該勧告に従わない場合には,全学システム管理責任者にその旨を報告するものとする。
8
全学システム管理責任者は,毎年度一回,CISO及び情報運用管理委員会に対して,教育啓発対象者の情報セキュリティ対策の教育の受講状況について報告するものとする。
9
全学システム管理責任者は,情報セキュリティ関係規程について,教育啓発対象者に対する情報セキュリティ対策の訓練の内容及び体制を整備するものとする。
10
情報運用管理委員会及び学術情報センターは,構成員からの情報セキュリティ対策に関する相談に対応するものとする。
11
その他,教育及び研修に関する事項については,学長が別に定める。
(教育の主体と客体)
第68条
情報運用管理委員会は,部局システム管理責任者及びシステム管理者等に対して,情報セキュリティ対策の教育を実施するものとする。
2
システム管理者等は,構成員に対して,講習計画の定める講習を実施するものとする。
第14章 評価
(自己点検)
第69条
自己点検に関する事項は,全学システム管理責任者が別に定める。
(監査)
第70条
全学システム管理責任者及びその他の関係者は,情報セキュリティ監査責任者が行う監査の適正かつ円滑な実施に協力しなければならない。
(事務)
第71条
この規程に関する事務は,学術情報課において処理する。
第15章 雑則
(雑則)
第72条
この規程に定めるもののほか,法人の情報システム運用及び管理に関する必要な事項は,学長が別に定める。
附 則
この規程は,平成20年4月1日から施行する。
附 則(平成21年3月16日)
この規程は,平成21年4月1日から施行する。
附 則(平成22年3月23日)
この規程は,平成22年3月23日から施行し,平成22年2月20日から適用する。
附 則(平成23年3月22日)
この規程は,平成23年4月1日から施行する。
附 則(平成24年3月30日)
この規程は,平成24年4月1日から施行する。
附 則(平成24年6月29日)
この規程は,平成24年7月1日から施行する。
附 則(平成24年12月21日)
この規程は,平成24年12月21日から施行する。
附 則(平成26年12月25日)
この規程は,平成27年4月1日から施行する。
附 則(平成29年1月27日)
この規程は,平成29年1月27日から施行する。
附 則(平成31年2月28日)
この規程は,平成31年4月1日から施行する。
附 則(令和3年12月23日)
この規程は,令和3年12月23日から施行する。
附 則(令和4年3月30日)
この規程は,令和4年4月1日から施行する。
附 則(令和5年5月19日)
この規程は,令和5年5月19日から施行し,令和5年4月1日から適用する。
附 則(令和6年3月15日)
この規程は,令和6年4月1日から施行する。
別表1
例外措置適用審査記録項目一覧表
内容
摘要
決定を審査した者の情報
氏名,役割名,所属,連絡先
申請内容
・申請者の情報(氏名,所属,連絡先)
・例外措置の適用を申請する情報セキュリティ関係規程の該当箇所(規程名及び条項等)
・例外措置の適用を申請する期間
・例外措置の適用を申請する措置内容(講ずる代替手段等)
・例外措置の適用を終了した旨の報告方法
・例外措置の適用を申請する理由
審査結果の内容
・許可又は不許可の別
・許可又は不許可の理由
・例外措置の適用を許可した情報セキュリティ関係規程の適用箇所(規程名と条項等)
・例外措置の適用を許可した期間
・許可した措置内容(講ずるべき代替手段等)
・例外措置を終了した旨の報告方法