Comments
Description
Transcript
土岐市立小中学校 情報セキュリティポリシ-ガイドライン
土岐市立小中学校 情報セキュリティポリシ-ガイドライン 1 基本方針 このガイドラインは、土 岐 市 立 小 中 学 校 において、児 童 ・生 徒 ・保 護 者 ・教 職 員 などの個 人 情 報 保 護 やインターネットの利 用 及 び運 営 管 理 に関 し、必 要 な事 項 を定 め、適 切 に管 理 ・運 用 するための基 本 的なルールを定 めたものである。 2 対象者 情 報 セキュリティポリシー対 象 者 は、市 内 小 中 学 校 に勤 務する教 職 員 等 (以 下 「職 員 」という。)とす る。 3 組 織・体制 (1) 教 育 長 は、小 中 学 校 における全 ての情 報 資 産 及 び情 報 セキュリティ対 策 を統 括 する権 限 及 び責 任 を有する情 報セキュリティ統 括 責 任者 とする。 (2) 学 校 長 は、各 校の情 報 セキュリティに関する権 限 及 び責 任 を有する情 報セキュリティ管 理 責 任 者 とする。 (3) 職 員は、本 情 報セキュリティポリシーの内 容を遵 守しなければならない。 (4) 校 務 分 掌 又は校 内 組 織 等において情 報セキュリティ担 当 者を置 く。 (5) 情 報 セキュリティ担 当 者 は、情 報 セキュリティ管 理 責 任 者 を補 佐 し、各 校 における情 報 資 産 の セキュリティの維 持、管 理 を行なう。 (6) 職 員には守 秘 義務 があり、異 動・退 職 などの場 合 等 、知 り得た情 報を漏 らしてはならない。 (7) 年 度 初め、各校 において情 報セキュリティの研 修会 を行う。 (8) 小 中 学 校 の情 報 セキュリティの維 持 管 理 を統 一 的 な視 点 で行うため、情 報 セキュリティポリシー の策 定 ・改 案 、緊 急 時 の対 応 など、情 報 セキュリティに関する重 要 な事 項 を審 議 する組 織 とし て情 報セキュリティ委 員 会 を置く。 (9) 情 報 セキュリティ委 員 会 は、教 育 長 、事 務 局 長 、庶 務 課 長 、学 校 教 育 課 長 、小 中 学 校 校 長 会 正 副 会長 及 び教 育 長が任 命した者 をもって構 成する。 4 用 語の定義 (1) 学 校ネットワーク 市 立 小 中 学 校 を相 互 に接 続するための通 信 網 、その構 成 機 器 (ハードウエア及 びソフトウエア) 及び記 録 媒 体で構 成され、処 理を行う仕 組みをいう。 (2) 情 報システム機 器 電 子 計 算 機 (ハードウェア及 びソフトウェア)及 び記 録 媒 体 で構 成 され、処 理 を行 うもの(パソコ ン、サーバ、プリンタ、USBメモリ、FD等)。 (3) 情報資産 学 校 ネットワーク、情 報 システム機 器 、学 校 ネットワーク及 び情 報 システム機 器 で取 り扱 う全 て 1/7 の情 報 をいう。なお、情 報 資 産には紙 等の有 体物 に出 力された情 報も含むものとする。 (4) 情 報セキュリティ 情 報 資 産 の機 密の保 持 及 び正 確 性 、完 全 性 の維 持 並 びに定められた範 囲での利 用 可 能 な 状 態を維 持することをいう。また、同 時に、責 任 追 跡性 、真 正 性を確 保した状 態 をいう。 (5) 個人情報 特 定の個 人 が識 別 され、または識 別され得 るもので、文 書 、図 画、写 真 、フイルム、磁 気ディス クその他これらに類する媒 体に記 録されたもの。 ※個 人 情 報は、電 子 情 報 か書 面 情 報であるかを問わない。 (6) 利 用 者ID 情 報システム機 器 を利 用 するための職 員に付 与する個 人 識 別 番号 をいう。 (7) 認 証キー 学 校ネットワークにアクセスするための媒 体をいう。 (8) パソコン 職 員 室 、普 通 教 室 に設 置 する校 務 用 パソコンと、パソコン教 室 に設 置 するPC教 室 用 パソコン をいう。 (9) サーバ 土 岐 市 役 所内 に設 置するセンターサーバと、パソコン教 室に設 置するPC教 室 用サーバをいう。 5 情 報 資 産の管理方法 (1) 情 報 資 産は、業 務 目 的の範 囲 内で利 用すること。 (2) 情 報システム機 器 に関する台 帳を整 備すること。 (3) 紙 媒 体 ・電 子 記 録 媒 体 等 で個 人 情 報 等 の重 要 な情 報 を学 校 外 へ持 ち出 すことを禁 止 する。 ただし、やむを得 ない理 由 がある場 合 は、「学 校 情 報 取 扱 簿 (様 式 1)」に記 入 の上 、必 ず事 前に学 校 長の許 可 を得るとともに、情 報 漏 洩 対策 (封 入 、暗号 化 等 )を講じること。 (4) パソコンのハードディスク内に、個 人 情報 等の重 要 な情 報 を保 存しないこと。 (5) 個 人 情 報 ・ID ・パスワードなどに関 する会 話 は、周 囲 に漏 れることのないように十 分 な配 慮 を すること。(特 に職 員室 内 にPTA や児 童・生 徒 等のいる時 ) (6) 個 人 情 報 等 の重 要 な情 報 を持 つ紙 媒 体 ・電 子 記 録 媒 体 等 を廃 棄 する際 には、裁 断 、溶 解 等で、情 報が判 読できないように処 理すること。 (7) 盗 難 や盗 み見 (業 者 や保 護 者 ・外 来 者 ・児 童 ・生 徒 )による情 報 漏 洩 を防 ぐために、机 上 に 個 人 情 報 等 を放 置 しないようにすること。(採 点 中 のテスト、スポーツテストの記 録 、児 童 ・生 徒 調 査 票 、住 所 録 、日 記 、親からの連 絡 帳 、成 績 資 料 等) (8) プリンター、コピー、faxから出 力された文 書は速やかに回 収すること。 (9) 情 報システム機 器 にFDやUSBメモリ等の移 動 媒 体 を挿したままにしないこと。 (10) 個 人 情 報 等の重要 な情 報が記 載されている用紙 を、裏 紙として再 利用しないこと。 (11) 私 物 パソコンの持 ち込 み・使 用 を禁 止 する。ただし、やむを得 ない理 由 がある場 合 は、「私 物 パ ソコン持 ち込 み簿 (様 式 2)」に記 入 し、必 ず事 前 に学 校 長 の許 可 を得 ると共 に下 記 の事 項 を 遵 守すること。 2/7 ・学 校ネットワークへの接 続 は禁 止 とする。 ・私 物 パソコンには、個 人 情 報を含 む重 要データを保 存しない。 6 情 報の提供(送付)について (1) 外 部 に個 人 情 報 等 の重 要 な情 報 を送 付 する場 合 は、「学 校 情 報 取 扱 簿 (様 式 1)」に記 入 し、必ず事 前 に学 校長 の許 可を得 ること。 (2) 情 報を提 供する場 合 は、情 報 漏 洩 対策 (封 入 、手 渡し、暗号 化 等 )を講じること。 7 情 報システム機器利用時の遵守事項 (1) 情 報システム機 器 は、無断 で改 造しないこと。 (2) 情 報システム機 器 は、無断 で他のネットワークに接続したりしないこと。 (3) OSやソフトウェアにはセキュリティホールという情 報 セキュリティ上 の欠 陥 が発 見 されることがあるた め、迅 速に最 新バージョンへの更 新やセキュリティパッチ(修 正プログラム)を適 用 すること。 (4) 個 人 所 有の情 報システム機 器を無 断で持 ち込まないこと。 (5) ノートパソコン等 は、盗 難 防 止のため、使 用 終 了 後 は特 定の保 管 場 所にしまうこと。 (6) USBメモリーやFD等の移 動 媒 体は、随 時 ウイルスチェックを行うこと。 8 パスワード管理 (1) 不 正アクセスを防 止するため、パスワードの管 理は適 切に行うこと。 (2) パスワードは、人 目 に触 れるところに記 入や貼 付をしないこと。 (3) 他 人の利 用 者ID、パスワードを使用しないこと。 (4) パスワードを亡失した場 合 は、速やかに教 育委 員 会 に再 発 行 を依 頼すること。 9 離 席 時の対策 (1) 離 席 する際 は、ディスプレイの電 源 を切 る、ノートパソコンのふたを閉 じるなど講 じること。またはパ スワード付 きスクリーンセーバー等 の設 定 や起 動 時 のパスワード設 定 等 を施 し、他 人 に勝 手 に 使 用されないように注 意すること。 (2) 長 時 間 離 席する場 合は、ファイルや使 用ソフトを閉じること。 (3) 使 用しているUSBメモリーやFD等 を、忘 れずに取り外すこと。 (4) パソコンに重 要データを表 示している場 合は、他 人に盗み見されないよう周 囲に配 慮すること。 10 プリンタ等の情報システム機器を導入・廃棄等する場合 (1) 情 報 システム機 器 を導 入 ・廃 棄 する場 合 は、情 報 セキュリティ担 当 者 及 び学 校 長 を通 して教 育 委 員 会に申 請するとともに、情 報システム機 器台 帳 を更新すること。 11 ソフトウエアの取り扱い (1) 私 用ソフトをインストールしないこと。 3/7 (2) ソフトウェアの違 法 コピーを行わないこと。 (3) 学 校がライセンス所 有するソフトウエアを個 人所 有 のパソコンにインストールしないこと。 (4) ソフトウェアのインストールとアンインストールは、情 報 セキュリティ担 当 者 及 び学 校 長 を通 して教 育 委 員 会に申 請するとともに、ソフトウエア台 帳 を更 新 すること。 12 ネットワークに関する遵守事項 (1) 職 員 室 内 の配 置 換 え等 に伴 う、LAN配 線 の引 き直 しをする場 合 は、教 育 委 員 会 と協 議 する こと。 (2) 配 線は、断 線しないように配 慮すること。 (3) 学 校ネットワーク以 外の外 部ネットワークに接 続しないこと。 (4) 学 校ネットワークは、無 断で変 更しないこと。 (5) 学 校ネットワークの変 更が必 要な場 合 は、教 育 委 員 会 と協議すること。 13 インターネット利用時における遵守事項 (1) 職 務に関 係の無いホームページの閲 覧を行わないこと。 (2) インターネットからむやみにファイルのダウンロードを行わないこと。(業 務 上 必 要なものに限 る) 14 電子メール利用時における遵守事項 (1) 職 務 以 外の目 的で電 子メールを使 用しないこと。 (2) 送 信 時には「内 容」「宛 先 」の確認 を行うこと。 (3) データ量 が5MB以 上の添 付 ファイルを送 信しないこと。 (4) 不 審なメールは、開 封したり、添 付 ファイルを実 行したりしないこと。 (5) 個 人 情 報 等 の重 要 な情 報 は、メールで送 信 しないこと。ただし、やむを得 ない理 由 がある場 合 は、「学 校 情 報 取 扱 簿 (様 式 1)」に記 入し、必ず事 前 に学 校 長の許 可 を得 ること。なお、デー タそのものにパスワードをかけるか、暗 号 化するなどして送 信すること。 15 コンピュータウイルスに対する遵守 事項 (1) パソコン、サーバには、ウイルス対 策ソフトをインストールすること。 (2) コンピュータウイルス対 策ソフトの定 義ファイルは常に最 新の状 態 を保 つこと。 (3) ウイルス感 染 が発 覚 した場 合 、そのパソコンのLANケーブルをすぐに外 し、ウイルス対 策 ソフトを 使 用し、ウイルスの駆 除 又 は隔 離 若しくは削 除すると共に、学 校 長 及び教 育 委 員 会へ報 告す ること。その際 に使 用していたUSBメモリやFD等を他 で使 用しないこと。 16 利用者ID及び認証キーに関する遵守事項 (1) 利 用 者ID・認 証キーの管 理 台 帳を整 備すること。 (2) 利 用 者ID・認 証キーは、他 人に利 用されないよう厳 重に管 理すること。 (3) 認 証 キーを紛 失 した場 合 は、速 やかに学 校 長 及 び教 育 委 員 会 に報 告 し、教 育 委 員 会 の指 示 を仰 ぐこと。 4/7 17 事故、欠陥に対する対処 (1) 情 報 セキュリティに関 する事 故 、欠 陥 及 び誤 動 作 があった場 合 は、速 やかに学 校 長 及 び教 育 委 員 会に報 告し、教 育委 員 会の指 示に従い必 要 な措 置を講じること。 18 運用管理 (1) 学 校 長 及 び情 報セキュリティ担 当 者 は、本ポリシーが遵 守されているか確 認する。重 大 なポリシ ー違 反が判 明した場合 は、迅 速に対 応すること。 19 その他 (1) 新 たに必 要 な対 策 が発 生 した場 合 、情 報 セキュリティ委 員 会 において情 報 セキュリティポリシー の実 効 性 を評 価 し、必 要 な部 分 を見 直 し、内 容 、時 期 について決 定 を行 う。この決 定 に基 づ き、情 報 セキュリティポリシーの更 新 を実 施 する。更 新 の内 容 については、情 報 セキュリティ委 員 会が決 定する。 平 成22年3月 15日 初 版 5/7 情報セキュリティポリシ-実施手順 1 学 校ネットワークに接続する情報システム機器の導入・廃止手順 (1) 情 報 システム機 器 を導 入 または廃 止 する場 合 には、教 育 委 員 会 に「情 報 システム機 器 変 更 申 請 書(様 式 3)」を提 出 し、承 認を得ること。 (2) 教 育 委 員 会は、前 項に基 づき、情報 システム機 器の導 入・廃 止 を行うこと。 2 利 用 者ID及び認証キー利用者の登録・変更・廃止手順 (1) 下 記 の場 合 、「利 用 者 ID・認 証 キー利 用 者 一 覧 表 (様 式 4)」を教 育 委 員 会 に提 出 するこ と。 ① 毎 年の定 期 異 動時 ② 年 度 途 中に利 用 者の変 更 が生じた時 (2) 教 育 委 員 会 は、前 項 に基 づき、利 用 者 ID及 び認 証 キー利 用 者 の登 録 ・変 更 ・廃 止 を行 うと ともに認 証キーの回 収または配 布 を行うものとする。 (3) 認 証キーの予 備 (認 証 予 備キー)を各 校 に必 要 本 数 配 布し、学 校 長 が管 理するものとする。 (4) 認 証 予 備 キーは、臨 時 に情 報 システム機 器 を利 用 する者 (教 育 相 談 員 など)が学 校 ネットワ ークにアクセスする場 合に使 用する。 (5) 認 証 予 備 キーを使 用 する場 合 は、「認 証 予 備 キー管 理 台 帳 (様 式 5)」に記 入 し、必 ず事 前 に学 校 長の許 可 を得ること。 3 ソフトウェアのインストール・アンインストール手順 (1) ソフトウェアをインストールまたはアンインストールする場 合 には、教 育 委 員 会 に、「情 報 システム 機 器 変 更 申請 書 (様 式3)」を提 出し、承 認 を得ること。 (2) 教 育 委 員 会は、前 項に基 づき、ソフトウェアのインストール・アンインストールを行うこと。 4 フィルタリングの設定・解除手順 (1) インターネットサイトのフィルタリングを設 定 または解 除 する場 合 には、教 育 委 員 会 に、「フィルタリ ング変 更 申 請 書(様 式6)」を提 出し、承 認を得ること。 (2) 教 育 委 員 会は、前 項に基 づき、教育 ネットワークフィルタリングの設 定 ・解除 を行うこと。 5 情 報セキュリティ事故発生時の手 順 (1) 情 報 漏 洩 ・紛 失 ・盗 難 ・ウイルス感 染 等 の情 報 セキュリティ事 故 が発 生 した場 合 は、速 やかに 学 校 長 に報 告 するとともに、「情 報 セキュリティ事 故 報 告 書 (様 式 7)」を教 育 委 員 会 に提 出 す ること。 (2) ウイルス感 染 等の情 報セキュリティ事 故 が発 生した場 合は、教 育 委 員 会に従うこと。 (3) 事 故からの復 旧 後 は、情 報システム機 器 の正 常 動 作 を確 認すること。 (4) 事 故 発 生 原因 を調 査し、事 故の記 録を残すともに、再 発 防 止 策を検 討すること。 6/7 6 ホームページ(HP)の開設・情報発信の手順 (1) 学 校HPは学 校の教 育 活 動 を主 体 として作 成し、学 校 長の許 可を得 た上で公 開すること。 (2) HPに掲 載した情 報 については、学 校長 が責 任を負うものとする。 (3) HP管 理については、学 校 長から委 任された者が取 り扱うものとする。 (4) HPの発 信 は学 校 長 から委 任 された者 が中 心 となって行 うが全 職 員 がページを作 成 することが できるものとする。 (5) 職 員は、不 特 定 多 数による閲 覧のあることを十 分 踏 まえページを作 成すること。 (6) 児 童 ・生 徒 の個 人 情 報 は、安 全 確 保 のため原 則 として掲 載 しないこと。ただし、学 校 長 が教 育 上 特 に必 要 であると認 めた場 合 には、以 下 に示 す範 囲 内 において掲 載 することができるもの とする。なお、本 人 及 び保 護 者 に対 して教 育 上 必 要 な理 由 等 について十 分 に説 明 し、その同 意 を得 ることを前 提 とすること。 〇掲 載 範 囲 ・写 真 ・・・児童 ・生 徒の写 真 を掲 載する場合 は、個 人が特 定できないよう配 慮 すること。 ・作 品 等 ・・・児 童 ・生 徒 が制 作 したものを掲 載 する場 合 には、児 童 ・生 徒 及 びその保 護 者 の同 意 を得ること。 ・作 文 等 による意見 、主 張 等・・・文 中での個 人 が特 定できないよう配 慮すること。 ・その他 ・・・国 籍 、本 籍 、住 所 、電 話 番 号 、生 年 月 日 、身 体 状 況 、家 族 構 成 等 、掲 載 し ないこと。 (7) 著作権 〇掲 載する情 報 文 章 、絵画 、写 真 、音 楽 等は、その著 作 権 に十 分 配 慮すること。 〇本 校の著 作 権 トップページに学 校・児 童・生 徒 作 品 等の著作 権 を明 記すること。 7/7