Comments
Description
Transcript
加古川市立学校園情報セキュリティ基本方針
加古川市立学校園情報セキュリティ基本方針 加古川市教育委員会 1 趣旨 幼児、児童、生徒に対する教育の質の向上をめざすとする教育活動の充実と、学校園経営における 校務処理の効率化を目的として、加古川市立学校園(以下、「学校園」という。 )における教育の情報 化を進めるにあたり、幼児、児童、生徒及び保護者、教職員、その他関係者の個人情報等を保護し、 適切に管理・運用することは必要不可欠と考える。また、このことは、保護者や地域住民等から信頼 される学校づくりをするためにも必要な要素である。 以上のことから、学校園が公務で取り扱う全ての情報の保護についての基準を明確にし、学校園の 情報セキュリティ対策を整備することを目的として、加古川市立学校園情報セキュリティポリシー (以下、「セキュリティポリシー」という。)を定めるものとする。 2 定義 (1)情報資産 学校園が校務で取り扱う全ての情報 (重要度に応じて機微情報、個人情報、一般情報に分類する) (2)情報システム 学校園が管理するハードウェア(コンピュータ、プリンタ、外部記憶装置等)、ソフトウェア 及びそれらを相互に接続するネットワークで構成された仕組み (3)ネットワーク 学校園並びに学校園間を相互に接続するための通信網、及びコンピュータ等の情報通信機器 (周辺機器を含む)を相互に接続するための通信網をいい、以下のとおり分類する。 ①「学校園間ネットワーク」 学校園間を相互に接続する通信網 ②「校内ネットワーク(校内 LAN)」 (※幼稚園は除く) 学校内におけるネットワーク ア)教育系…インターネットに接続可能なコンピュータ室及び各教室等のネットワーク イ)校務系…インターネットに接続可能な職員室等のネットワーク ウ)内部系…インターネットに接続不可能な職員室等のネットワーク (4)情報セキュリティ 情報資産の機密性の保持、完全性の維持並びに可用性を維持することをいい、次のように定義 する。 ①「機密性」…正当な権利をもっている人以外が情報を利用できないようにすること。 ②「完全性」…事実とコンピュータ上のデータの違いを無くすこと。 ③「可用性」…許可された利用者が必要なときに情報を利用できるようにすること。 - 1 - 3 セキュリティポリシーの位置付けと教職員等の義務 (1)位置付け セキュリティポリシーは、 『加古川市立学校園情報セキュリティ基本方針』 (以下、 「基本方針」 という。)と『加古川市立学校園情報セキュリティに関するガイドライン』(以下、「ガイドライ ン」という。)により構成され、学校園の情報資産に対する情報セキュリティ対策について、総 合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティの最上位に位置する。 (2)教職員等の義務 学校園の情報資産の取扱い業務に携わる全ての教職員及び部外受託者は、情報セキュリティの 重要性について共通の認識をもつとともに、校務及び業務の遂行にあたってセキュリティポリシ ーを遵守する義務を負う。 4 セキュリティポリシーの対象者 セキュリティポリシーは、学校園の情報資産を取り扱う全ての者(以下「対象者」という。)を対 象とする。 5 セキュリティポリシーの管理体制 加古川市教育委員会(以下、「教育委員会」という。)は、学校園が取り扱う情報資産及び情報シス テムの運用に関し、学校園と連携して情報セキュリティ対策を推進・管理するための体制を確立する ものとする。 教育委員会の体制 学校園情報セキュリティ最高責任者(CIO) 教育長 整備担当 教育総務部長 運用担当 教育指導部長 整備担当 教育総務課長 運用担当 教育研究所長 学校園情報セキュリティ責任者 学校園情報セキュリティ管理者 ※教育委員会においては、必要に応じて学校園情報化推進チームを設置する。 学校園の体制 校内(園内)情報セキュリティ責任者(校内(園内)CIO) 校園長 校内(園内)情報セキュリティ管理者 教頭 校内(園内)情報セキュリティ担当者 ICT 推進担当者 (幼稚園は園長が兼務) ※学校においては、ICT 推進委員会を設置する。 (組織図については別表 1 を参照) - 2 - (別表 1 組織図) 教育委員会 組織図 学校園 組織図 学校園情報セキュリティ最高責任者 校内(園内)情報セキュリティ責任者 教育長 校園長 学校園情報セキュリティ責任者 校内(園内)情報セキュリティ管理者 整備担当 教育総務部長 運用担当 教頭(※幼稚園は園長が兼任) 教育指導部長 校内(園内)情報セキュリティ担当者 ICT 推進担当者 学校園情報セキュリティ管理者 整備担当 教育総務課長 担当校長 小・中・特別支援学校 運用担当 視聴覚教育担当 教育研究所長 技術科教員(中学校のみ) 担当教頭 事務職員 ホームページ担当 学年担当教員 若干名 担当指導主事 (必要に応じて) 教育総務課情報化担当者 幼稚園 学校園情報化推進チーム ホームページ担当 視聴覚教育担当 ICT 推進委員会 加古川市ICT保守委託者 6 情報資産の分類 情報資産をその内容、運用形態などに応じて分類し、その重要度に応じた情報セキュリティ対策を 行うものとする。 区分 対象情報資産 プライバシーに関する情報のうち、他人や社会に知られたりすることで、精神的、経 済的、社会的に不利益を受ける可能性がある情報 機微情報 家族構成 病歴 障がいの有無 健康状態 学歴 家庭の経済状況 集金口座情報 公的扶助受給の有無 出身 戸籍 門地 宗教 思想信条 成績 進路 など 生存する個人に関する情報で、氏名、生年月日その他の記述により、特定の個人を識 別できるものをいう。 個人情報 氏名 生年月日 性別 住所 電話番号 顔写真等の画像 所属に関する情報(学校、学年、学級、学籍番号) など 一般情報 上記以外の学校園内で扱う情報 機微情報、個人情報は原則非公開とする。また、一般情報については、原則公開とするが、学校園 が公開することで著しく不利益等が生じる可能性があると判断するものについては、関係者による協 議のうえ、その扱いを決定することができる。 - 3 - 7 情報資産への脅威 情報資産に対する脅威として、特に認識すべき点は以下のとおりである。 (1)不正アクセスや不正操作、ウイルス攻撃等意図的な要因による情報資産の漏えい・破壊・改ざん・ 消失等。 (2)部外者の侵入や情報資産の無断持出等の規則違反による機器及び記憶媒体の盗難・紛失等。 (3)誤操作、アクセスのための認証情報又はパスワードの不適切管理、プログラム上の欠陥、故障等 の非意図的要因による情報資産の漏えい・破壊・消失。 (4)地震、落雷、火災等の災害並びに事故、故障等による情報資産の破壊・消失等 8 情報セキュリティ対策 第7項 情報資産への脅威で示した点から情報資産を保護するために、以下の情報セキュリティ対 策を講じ、ガイドラインを策定する。 (1)物理的な対策 機器の盗難、災害並びに事故、故障等から情報システムを保護するための対策。 (2)技術的な対策 情報システム及び情報資産への不正アクセス、不正プログラム等の対策。 (3)人的な対策 情報セキュリティに関する権限や責任を定めるとともに、情報資産を取り扱う全ての教職員等 に十分な教育及び啓発を行う等の対策。 (4)運用面における対策 情報システム運用上の対策 (5)危機管理対策 緊急事態が発生した際に迅速な対応を可能とするための対策。 9 学校園情報セキュリティ対策マニュアルの策定 学校園は、「ガイドライン」に基づき、情報セキュリティ対策を実施するための具体的な順守事項 を定めた「情報管理マニュアル」(以下、「マニュアル」という。)を学校園において策定するものと する。 10 情報セキュリティ監査の実施及び自己点検の実施 教育委員会は、セキュリティポリシーの順守状況について定期的に検証を行う。 11 評価及び見直しの実施 教育委員会は、順守状況の検証結果等により、セキュリティポリシーの評価を実施するとともに、 状況の変化に対応するために、セキュリティポリシーの見直しを実施する。 12 セキュリティポリシー等の公開及び非公開について 「基本方針」は原則公開とする。ただし、「ガイドライン」及び「マニュアル」は、公にすること により学校の運営に支障を及ぼす恐れがあることから非公開とする。 13 附則 この基本方針は、平成23年4月1日より施行する。 - 4 -