京都市教育委員会情報セキュリティ対策基準(PDF形式, 932.37KB)

by user

on 28 марта 2017

Category: Documents

>> Downloads: 0

views

Report

Comments

Description

Download 京都市教育委員会情報セキュリティ対策基準(PDF形式, 932.37KB)

Transcript

京都市教育委員会情報セキュリティ対策基準(PDF形式, 932.37KB)

京都市教育委員会情報セキュリティ対策基準
目次
京都市教育委員会情報セキュリティ対策基準
１
電子情報等の保護に関する管理基準・・・・・・・・・・・・・・・・・・・・・３
２
情報システム運用管理基準・・・・・・・・・・・・・・・・・・・・・・・・・11
３
情報システム室管理基準・・・・・・・・・・・・・・・・・・・・・・・・・・16
４
情報システム利用者管理基準・・・・・・・・・・・・・・・・・・・・・・・・22
５
ネットワーク管理基準・・・・・・・・・・・・・・・・・・・・・・・・・・・28
６
ネットワーク利用基準・・・・・・・・・・・・・・・・・・・・・・・・・・・39
７
情報システムの調達及び開発に関する管理基準・・・・・・・・・・・・・・・・46
８
情報システムの委託に関する管理基準・・・・・・・・・・・・・・・・・・・・49
９
コンピュータウイルス等の脅威に関する対策基準・・・・・・・・・・・・・・・53
10
情報セキュリティ緊急時対応基準・・・・・・・・・・・・・・・・・・・・・・57
11
情報セキュリティ教育実施基準・・・・・・・・・・・・・・・・・・・・・・・63
12
情報セキュリティに関する点検及び監査実施基準・・・・・・・・・・・・・・・67
13
小型大容量記録媒体に係る運用管理基準・・・・・・・・・・・・・・・・・・・69
14
周辺機器の増設に関する運用基準・・・・・・・・・・・・・・・・・・・・・・75
2
１電子情報等の保護に関する管理基準
第１章総則
（目的）
第１条この基準は，別に定めるもののほか電子情報及び入出力帳票（以下「電子情報等」
という。
）の取扱いに当たり，漏えい，改ざん，滅失，毀損その他の事故を防止するため
に必要な事項を定める。
（定義）
第２条この基準において，次の各号に掲げる用語の意義は，それぞれ当該各号に定める
ところによる。
(1) 記録媒体フロッピーディスク，光学ディスク（CD-R 等）
，光磁気ディスク（MO）
，
電子計算機に内蔵された磁気ディスク等の電磁的記録を保存するための媒体をいう。
(2) 庁舎外への持出し本庁，教育機関，学校等の庁舎外への持出しをいう。
(3) 庁外への持出し庁舎外への持出しのうち，
勤務時間中の職員が本庁舎，
教育機関，
学校間等を徒歩又は交通機関を利用して移動し，又は文書交換を利用した持出しを除
いたものをいう。
(4) 教育イントラネット
京都市教育委員会ネットワークのうち，イントラネット部分
をいう。
(5) 事務系ネットワーク
教育イントラネットのうち，教育委員会事務局及び教育機関
における事務処理及び学校における校務処理に利用するネットワークをいう。
(6) 閉鎖系ネットワーク当該学校のネットワーク（教育イントラネットを含む。
）と接
続せず，当該学校内部の電子計算機等のみを結合し，校務処理に利用するネットワー
クをいう。
２
前項各号に掲げるもののほか，この基準で使用する用語は，京都市情報公開条例，京
都市個人情報保護条例及び同条例施行規則，京都市教育委員会高度情報化推進のための
情報システムの適正な利用等に関する規程並びに京都市公文書取扱規程において使用す
る用語の例による。
（管理体制）
第３条高度情報化推進統括責任者は，電子情報等の保護に関する事務を統括する。
２
高度情報化推進統括者は，電子情報等の保護に関する事務において高度情報化推進統
括責任者を補佐する。
３
高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）は，
3
所管する情報システムに係る電子情報等の保護に関する事務を総合的に掌理する。
４
情報セキュリティ担当者は，
課等における電子情報等の保護に関する事務を掌理する。
（重要性の分類）
第４条電子情報等は，以下に従って重要性を分類するものとする。
⑴
重要性Ⅰ
アプライバシーに関する情報
個人に関して，通常他人に知られたくないと認められる情報
イ法人等事業活動に関する情報
公にすると法人等の正当な利益を明らかに害すると認められる情報
ウ任意提供に関する情報
法人や個人が，公にしないとの条件で任意に提供した情報
エ公共の安全，秩序の維持に関する情報
公にすると，公共の安全と秩序の維持に支障が生じるおそれのある情報
オ審議，検討，協議に関する情報
公にすると，率直な意見の交換や意思決定の中立性等が損なわれるおそれがある
本市等の審議，検討又は協議に関する情報
カ事務又は事業遂行に関する情報
公にすると，本市の事務又は事業の適正な遂行に支障を及ぼすおそれがある情報
キ法令秘等に関する情報
法令により公開することができないとされ，又は国の行政機関等から公開しては
ならない旨の指示がある情報
⑵
重要性Ⅱ 重要性Ｉ以外の電子情報等
第２章電子情報等の利用
（電子情報等の利用）
第５条職員は，電子情報等を業務の遂行以外の目的で利用してはならない。
（電子情報等の保管）
第６条職員は，電子情報等を，適切な場所に適切な方法で保管しなければならない。
２
職員は，重要性Ⅰに該当する電子情報等について，情報の漏えいを防止するため，施
錠可能な場所に保管する等の適切な措置を講じなければならない。
（電子情報等の持ち出し）
4
第７条職員は，職務上必要なとき以外は，電子情報の庁外への持出しを行ってはならな
い。
２
職員は電子情報等の庁外への持出しを行うときは，情報セキュリティ担当者の承認を
得なければならない。
３
前２項の規定は，
重要性Ⅰに該当する電子情報等に係る庁舎外への持出しに準用する。
４
職員は，重要性Ｉに該当する電子情報等の庁外への持出しを行ってはならない。ただ
し，職務上必要なときは，次の各号のいずれかに該当し，情報セキュリティ担当者が承
認したときには，この限りでない。
(1) 国の行政機関等から資料等の提供を求められている場合
(2) 庁外（本庁，教育機関，学校その他本市の施設以外の施設をいう。以下同じ。
）にお
いて交渉，協議，相談，催促，会議等に用いる場合
(3) 秘密保持に係る定めを取り交わしている相手方に対し，提示し，又は提供する場合
(4) その他高度情報化推進統括者が承認した場合
５
職員は，電子情報等の庁舎外への持出し又は庁外への持出しを行うときは，情報の漏
えい，改ざん，滅失，毀損その他の事故が生じないよう適切に管理しなければならない。
６
職員は，電子情報等を郵送し，又は自動車等の交通手段により輸送するときは，郵送
中又は輸送中の情報の漏えい，破損等を防止するため，電子情報等を物理的に保護する
ために適切な措置を講じなければならない。
（電子メールによる送信）
第８条職員は，職務上必要なとき以外は電子メールにより電子情報を庁外又は職員以外
に送信してはならない。
２
職員は，重要性Ⅰに該当する電子情報を電子メールにより庁外又は職員以外に送信し
てはならない。ただし，次の各号のいずれかに該当し，情報セキュリティ担当者が承認
したときは，この限りでない。
(1) 国の行政機関等から資料等の提供を求められている場合
(2) 庁外において交渉，協議，相談，催促，会議等に用いる場合
(3) 秘密保持に係る定めを取り交わしている相手方に対し，提示し，又は提供する場合
(4) その他高度情報化推進統括者が承認した場合
（ネットワークでの取扱い）
第９条
職員は，重要性Ⅰに該当する電子情報を事務系ネットワーク及び閉鎖系ネット
ワーク以外のネットワークで取り扱ってはならない。ただし，次の各号のいずれかに該
当し，情報セキュリティ担当者が承認したときに限り，事務系ネットワーク及び閉鎖系
ネットワーク以外のネットワークで取り扱うことができる。
(1) 国の行政機関等から資料等の提供を求められている場合
5
(2) 庁外において交渉，協議，相談，催促，会議等に用いる場合
(3) 秘密保持に係る定めを取り交わしている相手方に対し，提示し，又は提供する場合
(4) その他高度情報化推進統括者が承認した場合
（入出力帳票の廃棄）
第１０条職員は，入出力帳票の廃棄に当たり，情報の漏えい等の事故を防ぐよう適切に
処分しなければならない。
（記録媒体の廃棄）
第１１条職員は，電子情報が記録されている記録媒体の廃棄に当たっては，記録されて
いる電子情報を復元することができないよう，確実に消去し，又は当該電子情報が記録
されている記録媒体を破壊するなど情報漏えいを防ぐために適切な措置を講じなければ
ならない。
第３章情報システムに係る電子情報等の管理
（電子計算機処理に係る電子情報等の管理）
第１２条情報システム業務責任者は，所管する情報システムに係る電子情報等の保護に
関し適切な方法を定め，その適切な運用を図らなければならない。
（電子情報等の保護管理）
第１３条統括者等は，所管する情報システムに係る重要性Ⅰに該当する電子情報等につ
いて，情報の漏えいを防止するため，安全な保管設備を整える等の必要な措置を講じな
ければならない。
（復元が困難な電子情報等の保護管理）
第１４条統括者等は，滅失し，又は毀損した場合，その復元が著しく困難となり，教育
行政又は教育活動の円滑な執行を妨げるおそれがある電子情報等について，あらかじめ
複製を作成しておかなければならない。
２
統括者等は，前項の複製について，耐火性の保管庫に保管し，又は物理的に隔離され
た施設に保管する等の必要な措置を講じなければならない。
（電子情報等の他目的利用）
第１５条市長部局，各行政委員会（教育委員会を除く。
）及び委員の事務局並びに各公営
企業（以下「局等」という。
）において，教育委員会事務局，教育機関及び学校の業務に
6
係る電子計算機処理の目的で収集された電子情報等を利用しようとする課等の属する局
等の長は，あらかじめ，その利用について，教育長の承認を得なければならない。
２
前項の承認を得ようとする局等の長は，書面により教育長に申し出るものとする。
３
教育長は，前項の申出に対する利用の可否について，書面により当該申出を行った局
等の長に通知するものとする。
４
教育長は，前項の検討に当たり，次の事項に留意するものとする。
⑴
教育行政又は教育活動の公正かつ円滑な運営に支障がないこと。
⑵
法令により制限し，又は禁止されていないこと。
⑶
公益又は市民の福祉の増進に寄与すること。
⑷
必要最小限の電子情報等であること。
⑸ 他に能率的又は経済的な手段がないこと。
（電子情報等の提供）
第１６条職員は，電子情報等を関係職員等の正当な利用権限を有するもの又は付与でき
るもの以外のものに提供してはならない。ただし，職務上必要であり，次の各号のいず
れかに該当し，当該電子情報等を管理する課等の課長等（以下「電子情報等管理課長等」
という。
）が承認したときは，この限りでない。
(1) 国の行政機関等から資料等の提供を求められている場合
(2) 庁外において交渉，協議，相談，催促，会議等に用いる場合
(3) 秘密保持に係る定めを取り交わしている相手方に対し，提示し，又は提供する場合
(4) その他高度情報化推進統括者が承認した場合
２
電子情報等管理課長等は，前項の承認を行う場合前条第４項各号に留意するものとす
る。
第４章調査
（調査）
第１７条高度情報化推進統括責任者は，電子情報等の保護を図るため，必要に応じ，電
子情報等の保護の状況について調査を行うものとする。
２
前項の調査は，おおむね次の各号に掲げる事項に関して行うものとする。
(1) 電子情報等の保護に関する要領，諸手続等の整備の状況
(2) 電子情報等の保護に関する管理体制
(3) 電子情報等の管理の状況
(4) 電子計算機室及び電子情報等保管施設の管理の状況
(5) 電子計算機処理の運営及び管理の状況
7
３
高度情報化推進統括責任者は，前２項の調査により摘出した事項について，統括者等
又は情報セキュリティ担当者に対し，その改善を指示し，又は指導するものとする。
第５章雑則
（補則）
第１８条この基準において別に定めることとされている事項及びこの基準の実施に関し
て必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
附
則
この基準は，決定の日から実施する。
（平成２６年８月２８日決定）
8
第１号様式（第１５条第２項関係）
電子情報等利用承認申請書
平成
年
月
日
（宛先）
教育長
（局等の長）
（担当：
）
電子情報等の保護に関する管理基準第１５条第２項の規定により，教育委員会事務局，
教育機関及び学校が管理する電子情報等の利用について承認を受けたいので，次のとおり
申し出ます。
記
課等の名称
利
業
務名
目
的
期
間
業
務名
用
提
電子情報等
供
の内容及び
希
件数
望
記録媒体
処
理
場
所
利用期間経過後の
措置
そ
の
他
備考記録媒体を返却するときは，利用期間経過後の措置欄に返却予定年月日を記入する
こと。
9
第２号様式（第１５条第３項関係）
電子情報等の利用に係る結果通知書
平成
年
月
日
様
教
（担当：
育
長
）
電子情報等の保護に関する管理基準第１５条第３項の規定により，次のとおり結果を通
知します。
記
承認又は不承認
の別
課等の名称
利
業
務名
目
的
期
間
業
務名
用
提
供
希
望
電子情報等
の内容及び
件数
記録媒体
処
理
場
所
利用期間経過後
の措置
そ
の
他
備考不承認のときは，その他欄に理由を記入すること。
10
２情報システム運用管理基準
第１章総則
（目的）
第１条この基準は，サーバの設置環境及び物理的対策並びに情報システムの運用に関し
必要な事項を定める。
（定義）
第２条この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関
する規程に規定するもののほか，次に掲げる用語の意義は，それぞれ当該各号に定める
ところによる。
⑴
ソフトウェア電子計算機を動作させる手順及び命令を電子計算機が理解できる形
で記述したものをいう。
⑵
ネットワーク複数の電子計算機を通信回線その他の方法により結合し，所定の通
信様式に従って情報を送受信するための通信回線網をいう。
⑶
サーバ情報システムにおいて，他の電子計算機に対し機能や情報を提供する役割
の電子計算機をいう。
⑷
基幹的なサーバ利用不可能となることにより，教育行政又は教育活動の安定的な
遂行に支障（軽微なものを除く。
）を及ぼすおそれがあるサーバをいう。
⑸
庁舎外本庁，教育機関，学校等の庁舎外をいう。
⑹
庁外本庁，教育機関，学校等の庁舎外をいう。ただし執務中の職員が本庁舎，教
育機関，学校間等を徒歩又は交通機関を利用して移動する間及び文書交換を利用して
輸送する間は庁外に含めない。
⑺
教育イントラネット京都市教育委員会ネットワークのうち，イントラネット部分
をいう。
(8) 事務系ネットワーク
教育イントラネットのうち，教育委員会事務局及び教育機関
における事務処理及び学校における校務処理に利用するネットワークをいう。
(9) 学習系ネットワーク教育イントラネットのうち，学校において児童生徒の学習の
ために利用するネットワークをいう。
(10) 閉鎖系ネットワーク当該学校のネットワーク（教育イントラネットを含む）と接
続せず，当該学校内部の電子計算機等のみを結合し，校務処理に利用するネットワー
クをいう。
11
第２章サーバの設置環境及び物理的対策
（サーバの設置環境）
第３条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
は，主管する情報システムのサーバについて，温度及び湿度に起因する障害を防止する
ための空調設備を備えた，施錠可能な区画内に設置しなければならない。
２
前項のほか，基幹的なサーバの設置場所については，
「情報システム室管理基準」に定
めるところによる。
（サーバの物理的対策）
第４条統括者等は，必要に応じて，主管する情報システムのサーバについて，次に掲げ
る対策を講じなければならない。
(1) 地震等による転倒及び盗難を防止するための物理的対策
(2) 落雷等の自然災害による過電流等により電子計算機が停止することを防止するため，
電源に必要な対策
(3) 停電時に電子計算機を適切に停止するまでの間に必要な電力を供給し得る予備電源
の備え付け
第３章情報システムの運用
（電子計算機等の取扱い）
第５条統括者等は，
主管する情報システムの構成要素である電子計算機，
ソフトウェア，
周辺機器及び記録媒体（以下「電子計算機等」という。
）について，盗難，不正操作，盗
み見等による被害を防止するため必要な措置を講じるとともに，運用手順を定め職員に
周知しなければならない。
２
情報セキュリティ担当者は，前項の手順が遵守されるよう，職員を指導及び監督しな
ければならない。
３
情報セキュリティ担当者は，特定の情報システムに属さない電子計算機等について，
盗難，不正操作，盗み見等による被害を防止するため，必要な措置を講じるとともに，
職員に周知しなければならない。
（電子計算機等の持ち出し）
第６条統括者等は，情報システムを構成する電子計算機等を庁外に持ち出させてはなら
ない。ただし，業務上必要がある場合は，これを許可することができる。
12
２
統括者等は，前項の許可に当たり，使用方法及び手続に関する手順を定め職員に周知
するとともに，特に重要性Ⅰに該当する電子情報等を保存した電子計算機等の取扱いに
ついては，
「電子情報等の保護に関する管理基準」に従い，適切に管理しなければならな
い。
３
情報セキュリティ担当者は，電子計算機等を前項の手順に従い適切に管理しなければ
ならない。
４
情報セキュリティ担当者は，特定の情報システムに属さない電子計算機等を庁外へ持
ち出させてはならない。ただし，業務上必要である場合は，これを許可することができ
る。
５
情報セキュリティ担当者は，前項の許可に当たり，重要性Ⅰに該当する電子情報等を
保存した電子計算機等の取扱いについては，
「電子情報等の保護に関する管理基準」に従
い，適切に管理しなければならない。
６
前２項の規定は，電子計算機等の庁舎外への持ち出しの場合に準用する。
７
情報セキュリティ担当者は，第 1 項，第 4 項及び第 6 項に定める電子計算機等の庁内
における運搬等の目的での執務室外への持ち出しについて，適切に管理しなければなら
ない。
（関連文書の整備）
第７条統括者等は，主管する情報システムを管理するため次に掲げる文書を整備し，情
報システム業務責任者にあっては，高度情報化推進統括者の求めに応じて提出しなけれ
ばならない。
(1) 情報システムを構成する機器等を管理する文書
(2)「ネットワーク管理基準」第１０条に掲げる文書
(3) 情報システムの利用者及び利用者権限を管理する文書
２
統括者等は，前項の文書の内容に変更が生じたときは，直ちに当該変更の内容を文書
へ反映し，常に最新の状態を維持するとともに，当該変更の記録を保存しなければなら
ない。
３
統括者等は，第１項の文書について，業務上それらを必要とする職員以外の者が閲覧
することができないよう適切に保管しなければならない。
４
統括者等は，主幹する情報システムに属する電子計算機等を管理するため「情報資産
管理簿」を整備しなければならない。
５
情報セキュリティ担当者は，課等において利用する特定の情報システムに属さない電
子計算機等を管理するため「情報資産管理簿」を整備しなければならない。
（障害の記録）
第８条統括者等は，情報システムに生じた障害の記録を管理し，障害の原因の調査並び
13
に再発防止策の立案及び実施に努めるとともに，情報システム業務責任者にあっては，
高度情報化推進統括者の求めに応じて報告しなければならない。
（運用終了時の情報廃棄）
第９条統括者等は，主管する情報システムの運用を終了するときは，
「電子情報等の保護
に関する管理基準」の規定に従い，すべての情報を復元できない状態にして廃棄しなけ
ればならない。
第４章職員の責務
（目的外使用の禁止）
第１０条職員は，電子計算機等を業務目的外で使用してはならない。
（私物機器使用の禁止）
第１１条職員は，業務を遂行するに当たり，個人が所有する電子計算機等を使用しては
ならない。ただし，情報システムを構成する電子計算機等については統括者等の，特定
の情報システムに属さない電子計算機等については情報セキュリティ担当者の許可を得
たときは，この限りではない。
（盗難等防止措置の実施）
第１２条職員は，電子計算機等について，災害，盗難，不正操作，盗み見等による被害
を防止するため，情報システムを構成する電子計算機等については統括者等の，特定の
情報システムに属さない電子計算機等については情報セキュリティ担当者の指示に従い，
適切に取り扱わなければならない。
（持ち出しの管理）
第１３条職員は，電子計算機及び周辺機器を庁外へ持ち出してはならない。ただし，情
報システムを構成する電子計算機等については統括者等の，特定の情報システムに属さ
ない電子計算機等については情報セキュリティ担当者の許可を得たときは，この限りで
はない。
２
職員は，電子計算機及び周辺機器を庁舎外へ持ち出してはならない。ただし，情報セ
キュリティ担当者の許可を得たときは，この限りではない。
３
職員は，前２項の許可を得て電子計算機等を庁外又は庁舎外へ持ち出すときは，高度
情報化推進統括者又は情報セキュリティ担当者の指示に従い適切に管理しなければなら
ない。
14
４
職員は，電子計算機等の庁内における運搬等の目的での執務室外への持ち出しに当
たっては，情報セキュリティ担当者の指示に従い適切に管理しなければならない。
（機器構成変更の禁止）
第１４条職員は，情報セキュリティ担当者の許可なく，電子計算機等の改造を行っては
ならない。また，統括者等の許可なく，情報システムを構成する機器の交換及び増設を
行ってはならない。
（ソフトウェアの無断導入の禁止）
第１５条職員は，情報セキュリティ担当者の許可なく，電子計算機にソフトウェアを導
入してはならない。
２
前項の規定にかかわらず，ネットワークに接続する電子計算機にソフトウェアを導入
する場合は，統括者等の許可を必要とする。ただし，学習系ネットワークに接続する電
子計算機に学習用又は学習指導用のソフトウェアを導入する場合は，この限りではない。
（ネットワークへの無断接続の禁止）
第１６条職員は，高度情報化推進統括者の許可なく電子計算機を教育イントラネット又
はインターネットその他のネットワーク（閉鎖系ネットワークを除く。
）に接続してはな
らない。
２
職員は，情報セキュリティ担当者の許可なく電子計算機を閉鎖系ネットワークに接続
してはならない。
第５章雑則
（補則）
第１７条この基準において別に定めることとされている事項及びこの基準の実施に関し
て必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
15
３情報システム室管理基準
第１章総則
（趣旨）
第１条この基準は，教育委員会事務局，教育機関及び学校の情報資産を漏えい，改ざん，
滅失，き損その他の事故，災害等から組織的かつ継続的に保護するため，基幹的なサー
バ等を設置する場所について必要な事項を定める。
（定義）
第２条この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関
する規程に規定するもののほか，次の各号に掲げる用語の意義は，それぞれ当該各号に
定めるところによる。
⑴
基幹的なサーバ等利用不可能となることにより，教育行政又は教育活動の安定的
な遂行に支障（軽微なものを除く。
）を及ぼすおそれがあるサーバ（情報システムにお
いて，他の電子計算機に対し機能や情報を提供する役割の電子計算機をいう。
）及び汎
用コンピュータをいう。
⑵
情報システム室情報システムの基幹的なサーバ等を設置し，並びに当該情報シス
テムの管理及び運用を行うための執務室をいう。
⑶
電子機器電子計算機，携帯情報端末，記録媒体，通信機能を有する機器，録音機
能を有する機器，文字又は画像を記録する機能を有する機器，印刷機能を有する機器
その他電子情報を外部へ持ち出すことができる機器をいう。
第２章保安措置
（情報システム室の配置場所）
第３条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
は，外部から容易に侵入できない場所に情報システム室を配置しなければならない。
（保安措置等）
第４条統括者等は，情報システム室について，地震，水害，落雷，火災，漏水等の災害
及び盗難等の人的災害に備えて，必要な保安措置を講じなければならない。
２
統括者等は，情報システム室内の機器がほこり，振動，温度及び湿度による影響を受
16
けることがないよう必要な措置を講じなければならない。
第３章入退室管理
（入退室管理）
第５条情報システム室に入室できる者は，当該情報システムに係る業務に従事する職員，
業務委託を受けた事業者及び統括者等から許可を受けた者のみとする。
（入退室の監視）
第６条統括者等は，許可されていない者が情報システム室に入室することを防止するた
め，監視設備の設置又は職員による出入口の監視など，入退室を監視する措置を講じな
ければならない。
（一時的な入退室）
第７条統括者等から入室の許可を受けた者が，情報システム室に入室し，又は退室する
ときは，日時，所属，氏名，入室の目的等を入退室管理簿に記録しなければならない。
２
契約により機器等の搬入を認められた委託業者が情報システム室へ機器等を搬入する
ときは，統括者等は，その指名する職員を立ち会わせなければならない。
（身分証明書等の携帯）
第８条情報システム室に入室する者は，
名札を着用するとともに身分証明書等を携帯し，
必要に応じ，これを提示しなければならない。
（電子機器の持込み制限）
第９条情報システム室に入室する者は，情報システム室に電子機器を持ち込んではなら
ない。ただし，統括者等の許可を得たときは，この限りでない。
２
前項の許可を得ようとする者は，書面により，統括者等に申請するものとする。
３
統括者等は，前項の規定による申請があったときは，書面により許可又は不許可を申
請者に通知するものとする。
第４章事業者への委託
（情報システム室における作業の事業者への委託）
第１０条統括者等は，情報システム室における作業を事業者に委託する場合は，入退室
17
及び作業状況を記録及び監視するために必要な措置を講じなければならない。
２
統括者等は，情報システム室における作業を事業者に委託する場合は，第５条に定め
る入室許可及び第９条に定める電子機器の持込許可に係る申請及び許可は，書面により
これを行わなければならない。
（外部の施設に設置する場合）
第１１条情報システム業務責任者は，情報システム室を事業者の施設等の外部の施設に
設置する場合は，高度情報化推進統括者の許可を受けなければならない。
２
高度情報化推進統括者は，前項の許可を与えるときは，当該施設が第３条から第９条
に定める内容と同等の情報セキュリティが確保されていることを確認しなければならな
い。
３
高度情報化推進統括者は，第１項の許可を与えた施設について，前項に掲げる情報セ
キュリティが確保されていることを定期的に確認しなければならない。
４
前２項の規定は，高度情報化推進統括者が，情報システム室を事業者の施設等の外部
の施設に設置する場合に準用する。
第５章雑則
（補則）
第１２条この基準において別に定めることとされている事項及びこの基準の実施に関し
て必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
18
第１号様式（第７条関係）
入退室記録簿
入室時刻
所属又は会社名
用
月日
退室時刻
氏
名
件
立会
要否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
要・否
19
立会人
承認印
第２号様式（第９条第２項関係）
電子計算機器等持込使用許可申請書
平成
年
月
日
者
）
（宛先）
（統括者等）
（
申
請
（担当
）
上記の件について，下記のとおり電子計算機室及び電子情報等保管施設内において，教
育委員会事務局，教育機関及び学校の管理外となる電子計算機，通信機器，媒体等を外部
から持ち込み，使用する必要があるため，許可されるよう申請します。
記
使用者
持込物種別
□電子計算機 □携帯情報端末 □記録媒体 □通信機器
□その他（
）
機種及び製造番号又は
媒体種別，媒体使用機器
使用場所
使用目的
使用期間
20
第３号様式（第９条第３項関係）
電子計算機器等持込使用許可通知書
平成
年
月
日
様
（統括者等名）
（担当 ○○ xxxx）
上記の件について，下記のとおり通知します。
記
□上記申請に係る機器等の持込使用について，申請のとおり許可します。
なお，申請使用期間満了までに当該機器等を使用する必要がなくなった場合は，
速やかに通知者へ報告してください。
付帯条件：
□上記申請に係る機器等の持込使用については認められません。
理由：
21
４情報システム利用者管理基準
第１章総則
（目的）
第１条この基準は，故意又は過失による情報資産の漏えい，改ざん，滅失，き損その他
の事故を防止するため，利用者及び利用者権限の管理について必要な事項を定める。
（定義）
第２条この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関
する規程に規定するもののほか，次の各号に掲げる用語の意義は，それぞれ当該各号に
定めるところによる。
⑴
利用者権限情報システムの機能，情報等を取り扱うことができる権利をいう。
⑵
識別コードログインの際のユーザ名等，利用者を識別するために情報システムが
認識する記号をいう。
⑶
ログイン情報システムを利用する際に自己の識別コードを入力し，利用者認証を
受ける手続をいう。
⑷
利用者認証機能情報システムの利用者を識別コードにより識別し，その有効性を
判別する機能をいう。
⑸
利用者権限制御情報システムの利用者に対し，利用者権限の一部又は全部を制限
することをいう。
⑹
ログ情報システムの利用状況や通信の記録をいう。
⑺ スタンドアロンパソコン特定の情報システムに属さない電子計算機をいう。
(8) 教育イントラネット京都市教育委員会ネットワークのうち，イントラネット部分
をいう。
(9) 学習系ネットワーク
教育イントラネットのうち，学校において児童生徒の学習の
ために利用するネットワークをいう。
第２章利用者認証及び利用者権限の制御
（利用者認証及び利用者権限制御機能の具備）
第３条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
は，所管する情報システムについて，利用者認証機能及び利用者権限制御機能を設ける
22
ことにより，許可された以外の者の利用及び権限を越えた利用を防止しなければならな
い。
（利用者認証）
第４条前条に掲げる利用者認証機能は，識別コード及びパスワード又は生体認証を利用
する方法によることとする。
（不正ログインの防止機能）
第５条統括者等は，必要に応じて，所管する情報システムに不正にログインしようとす
る行為を検知し，又は防止する機能を設けなければならない。
（識別コードの管理）
第６条統括者等は，第４条に掲げる識別コードを付与するときは，利用者個人ごとに異
なる識別コードを付与しなければならない。ただし，高度情報化推進統括者が許可した
場合には，この限りではない。
（パスワードの管理）
第７条統括者等は，第４条に掲げるパスワードについて，以下の機能を設けなければな
らない。
(1) 利用者が他者に知られることなく自らのパスワードを変更できる機能
(2) 利用者が設定したパスワードを他者が変更できないようにする機能
(3) 利用者が設定したパスワードを暗号化する等，他者が容易に知ることができない状
態で保持する機能
２
統括者等は，第４条に掲げるパスワードについて，文字数，使用する文字種及び管理
方法について定めるとともに，利用者に周知しなければならない。
（初期パスワードの変更）
第８条統括者等は，情報システムの利用開始に際し，利用者に対し初期パスワードを付
与するときは，情報システムの利用開始後直ちにパスワードを変更させなければならな
い。
２
統括者等は，前項の規定に従わない利用者に対して，パスワードを変更するよう指示
しなければならない。
３
統括者等は，利用者が前項の指示に従わないときは，速やかに当該利用者の識別コー
ドによる情報システムの利用を停止させなければならない。
４
統括者等は，前項の場合において，当該利用者からパスワードを変更する旨の申出が
あったときは，識別コードの利用停止を解除し又は新たな識別コードを付与するものと
23
する。
（パスワードの定期的変更）
第９条統括者等は，情報システムの利用者に，第４条に掲げるパスワードを定期的に変
更させなければならない。
第３章権限管理
（利用者権限の管理）
第１０条統括者等は，所管する情報システムについて，次の各号に従い利用者権限の適
切な管理を行わなければならない。
(1) 当該情報システムの利用を許可した者に対してのみ，識別コード及びパスワードを
付与すること。
(2) 管理者権限を持つ識別コードは，担当業務又は職責に即して必要最小限の者に付与
すること。
(3)人事異動その他の理由により当該情報システムを利用する必要がなくなった者につ
いて，当該利用者の識別コード及びパスワード又は生体情報を直ちに無効にすること。
退職等の場合，識別コードを登録したカード等の認証媒体（以下「認証媒体」という。
）
を交付しているときは返納させること。
(4) 識別コードの不正使用又は識別コードを登録した認証媒体の紛失の報告を受けた場
合は，直ちに当該識別コードによる情報システムの利用を停止させること。
(5) 利用者の職責及び必要性を勘案し，取扱い可能な情報及び利用可能な機能の範囲を
必要最小限に設定する等，適切な利用者権限の制御を行うこと。
第４章ログ管理
（ログ管理機能の導入）
第１１条統括者等は，所管する情報システムについて，情報の漏えい，改ざん等の事故
発生時の原因調査等の目的で利用するため，ログを取得する機能を設けなければならな
い。
２
ログには，次の各号に掲げる事項を記録しなければならない。
(1) 通信履歴，障害履歴等の情報システムの稼働状況に関する情報
(2) 操作履歴，閲覧履歴等の操作者の行為に関する情報
(3) 操作対象の電子情報を特定できる情報
24
（ログの取得及び保存）
第１２条統括者等は，前条の機能により取得したログについて，次の各号に掲げる事項
を遵守しなければならない。
(1) 不当な参照，
消去及び改ざんが行われないよう適切な利用者権限の制御を行うこと。
(2) ログを外部記録媒体に記録したときは，盗難及び改ざんが行われることのないよう
安全な状態で保管すること。
(3) 取得したログの保存期間を適切に定め，当該保存期間が満了するまでログを保存し，
保存期間を延長する必要がない場合は速やかにこれを消去すること。
（ログの点検及び分析）
第１３条統括者等は，第１１条の機能により取得したログについて，定期的に又は適宜
これを点検及び分析しなければならない。
２
統括者等は，
前項の点検及び分析の結果，
所管する情報システムについてセキュリティ
の侵害が判明したときは，直ちに必要な措置を講じなければならない。
（利用者への周知）
第１４条統括者等は，所管する情報システムの利用者に対し，ログの取得，保存，点検
及び分析を行うことをあらかじめ周知しなければならない。
第５章利用者の責務
（利用者による識別コード管理）
第１５条情報システムの利用者は，付与された識別コードの管理について，次に掲げる
事項を遵守しなければならない。
(1) 一つの識別コードを複数の利用者で共有しないこと。
(2) 他人の識別コードを使用しないこと。
(3) 識別コードを不正使用された場合又は識別コードを登録した認証媒体を紛失した場
合は，直ちに情報セキュリティ担当者を通じて統括者等に報告すること。
(4) 識別コードを利用しなくなったときは，速やかに情報セキュリティ担当者を通じて
統括者等に報告するとともに，識別コードを登録した認証媒体を付与されている場合
は速やかに返却すること。
（利用者によるパスワード管理）
第１６条情報システムの利用者は，付与されたパスワードの管理について，次に掲げる
25
事項を遵守しなければならない。
(1) 情報システムの利用開始に際して付与された初期パスワードは，直ちに変更するこ
と。
(2) パスワードは，統括者等が定める文字種，文字数等により適切に設定すること。
(3) パスワードには，一般的な単語や，本人の氏名，生年月日，電話番号等，他人に容
易に推測されうるものを使用しないこと。
(4) パスワードを他者に知られないよう厳重に管理すること。
(5) パスワードを他者に教えないこと。
(6) パスワードを定期的に変更すること。
(7) 複数の情報システムを取り扱う職員は，パスワードを情報システム間で共有しない
こと。
(8) 職員のパスワードを他の職員と共有しないこと。
(9) パスワードを忘れたときは，速やかに情報セキュリティ担当者を通じて，統括者等
に報告すること。
(10) パスワードを他者に知られた場合又は知られた可能性がある場合は，直ちに情報セ
キュリティ担当者を通じて，統括者等に報告すること。
第６章学習系ネットワーク及びスタンドアロンパソコンに関する運用
（学習系ネットワークにおける例外）
第１７条学習系ネットワークにおいては，第６条，第７条第２項及び第８条から第１０
条に規定する識別コード及びパスワードの管理並びに利用者権限の管理は，情報セキュ
リティ担当者がこれを行う。
２
学習系ネットワークにおいては，第１１条から第１４条に規定するログ管理は，機能
上可能かつ運用上必要な範囲において，統括者等がこれを行う。
３
学習系ネットワークにおいては，第１５条及び第１６条に規定にする識別コード及び
パスワードの管理は，機能上可能かつ運用上必要な範囲において，学習系ネットワーク
の利用者がこれを行う。
（スタンドアロンパソコンへの準用）
第１８条情報セキュリティ担当者は，所管するスタンドアロンパソコンについて，機能
上及び運用上必要な範囲において，第３条から第１０条の規定に準じて利用者認証及び
利用者権限制御並びに権限管理を行わなければならない。
２
前項の利用者認証及び利用者権限制御並びに権限管理が行われているスタンドアロン
パソコンを利用する者は，第１５条及び第１６条の規定に準じ，識別コード及びパスワー
26
ドを管理しなければならない。
第７章雑則
（例外措置）
第１９条統括者等は，この基準を遵守することが困難な状況があり，教育行政又は教育
活動の適正な遂行を継続するため，遵守事項とは異なる方法を採用し又は遵守事項を実
施しないことについて合理的な理由がある場合には，例外措置を採ることができる。た
だし，情報システム業務責任者にあっては，高度情報化推進統括者の許可を得なければ
ならない。
２
情報システム業務責任者は，教育行政又は教育活動の遂行に緊急を要する等の場合で
あって，例外措置を実施することが不可避のときは，事後速やかに高度情報化推進統括
者に報告しなければならない。
（補則）
第２０条この基準において別に定めることとされている事項及びこの基準の実施に関し
て必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
27
５ネットワーク管理基準
第１章総則
（目的）
第１条この基準は，教育委員会事務局，教育機関及び学校のネットワークの管理に関し
必要な事項を定める。
（定義）
第２条この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関
する規程に規定するもののほか，次の各号に掲げる用語の意義は，それぞれ当該各号に
定めるところによる。
⑴
電子計算機等電子計算機及びこれに接続される周辺機器をいう。
⑵
ネットワーク複数の電子計算機等を通信回線その他の方法により結合し，所定の
通信様式に従って情報を送受信するための通信回線網をいう。
⑶
通信装置
ネットワークへの接続のために設置され，電子計算機等によりネット
ワーク上を送受信される情報の制御を行うための，ルータ，ハブ，ファイアウォール
等の装置をいう。
⑷
基幹的なネットワーク
利用不可能となることにより，本市教育行政又は教育活動
の安定的な遂行に支障（軽微なものを除く。
）を及ぼすおそれがあるネットワークをい
う。
⑸
利用者認証機能情報システムの利用者を識別コードにより識別し，その有効性を
判別する機能をいう。
⑹
識別コード利用者を識別するために情報システムが認識する符号をいう。
⑺
アクセス情報システムの機能，情報等を取り扱うことをいう。
⑻
外部ネットワークインターネット等の京都市教育委員会が管理していないネット
ワークをいう。
⑼
サーバネットワーク上で，他の電子計算機に対し機能や情報を提供する役割の電
子計算機をいう。
⑽
ファイルサーバ情報システム利用者が電子情報を格納するサーバをいう。
⑾
外部アクセスサーバ外部ネットワークからのアクセスを他のサーバを介さずに直
接受けるサーバをいう。
(12) 教育イントラネット京都市教育委員会ネットワークのうち，
イントラネット部分
をいう。
28
第２章ネットワークの構築
（ネットワークの構築）
第３条高度情報化推進統括者は，教育委員会事務局，教育機関及び学校におけるネット
ワーク管理を統括する。
２
情報システム業務責任者は，ネットワークを構築し，または構成を変更するとき（軽
易なものを除く。
）は，あらかじめ，必要な情報セキュリティ対策が講じられていること
について，高度情報化推進統括者の承認を得なければならない。
３
情報システム業務責任者は，前項の規定により承認を得ようとするときは，書面によ
り，高度情報化推進統括者に申し出るものとする。
４
高度情報化推進統括者は，前項の規定による申出に対する検討の結果について，書面
により，情報システム業務責任者に通知するものとする。
（不正利用等防止措置）
第４条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
は，ネットワークを構築し，又は構成を変更するときは，次に掲げるセキュリティ事故
を防止するために必要な措置を講じなければならない。
(1) ネットワークの不正利用
(2) ネットワークに接続された電子計算機等及び通信装置への不正アクセス行為（不正
アクセス行為の禁止等に関する法律(平成１１年法律第１２８号)第３条第２項に規定
する不正アクセス行為をいう。以下同じ。
）
(3) ネットワークを経由して送受信される情報の漏えい，改ざん，き損等
(4) ネットワークに接続された電子計算機等に記録された情報の漏えい，改ざん，き損
等
(5) 基幹的なネットワークに接続された電子計算機等及び通信装置の落雷等の自然災害
による電源異常及び庁内の通信回線の障害
(6) 職員又は契約により工事を認められた委託事業者以外の第三者による配線の変更及
び追加
（暗号化）
第５条統括者等は，前条のセキュリティ事故防止措置として，必要に応じ，ネットワー
クを用いて送受信される電子情報を暗号化するものとする。
（無線による通信の禁止）
29
第６条統括者等は，重要性Ⅰに該当する電子情報を取り扱うネットワークにおいて，職
員に無線を利用して電子情報を送信させ，又は受信させてはならない。ただし，高度情
報化推進統括者が，当該無線回線と接続できる電子計算機等の限定，当該電子情報の暗
号化等の措置により継続的に情報セキュリティを確保するための措置が講じられている
と認める場合は，この限りでない。
（リモートアクセス環境の構築の禁止）
第７条統括者等は，職員のみが利用できる情報システムについて，リモートアクセス環
境（外部ネットワークを経由してアクセスできる環境をいう。以下同じ。
）を構築しては
ならない。ただし，高度情報化推進統括者が，当該情報システムと接続できる電子計算
機等の限定，当該電子情報の暗号化等の措置により継続的に情報セキュリティを確保す
るための措置が講じられていると認める場合は，この限りでない。
（情報システムの外部ネットワークへの接続）
第８条統括者等は，所管する情報システムを外部ネットワークに接続するときは，教育
イントラネットを経由させなければならない。ただし，高度情報化推進統括者が，特段
の事情があり，かつ，継続的に情報セキュリティを確保するための措置が講じられてい
ると認めて許可したときは，この限りでない。
２
情報システム業務責任者は，前項ただし書の規定により高度情報化推進統括者の許可
を受けようとするときは，書面により，高度情報化推進統括者に申し出るものとする。
３
高度情報化推進統括者は，前項の規定による申し出に対し，教育行政上の必要性，外
部ネットワークと教育イントラネットの接続点に配置される機器及びソフトウェアの構
成並びに外部ネットワークとの通信手段及び通信内容を詳細に検討し，情報システムに
対する影響を確認したうえで，検討の結果について，書面により，情報システム業務責
任者に通知するものとする。
（職員以外の者が利用できる情報システム）
第９条統括者等は，職員以外の者が利用できる情報システムについて，必要に応じて，
他のネットワーク及び情報システムと物理的に分離する等，特に強固な情報セキュリ
ティ対策を施さなければならない。
第３章ネットワークの運用管理
（関連文書の整備）
第１０条統括者等は，所管するネットワークを管理するため，次に掲げる文書（電子情
30
報を含む。
）を整備することとし，情報システム業務責任者にあっては，高度情報化推進
統括者の求めに応じて提出しなければならない。
(1) ネットワーク仕様書
(2) ネットワーク構成図
(3) 電源，通信回線及び通信装置の物理的配線状況に係る文書
(4) ネットワークの設定に係る文書
(5) 構成機器及びソフトウェアの管理台帳
(6) 保守実施内容の記録
２
統括者等は，前項の文書の内容に変更が生じたときは，速やかに当該変更の内容を文
書へ反映し，常に最新の状態を維持するとともに，当該変更の記録を保存しなければな
らない。
３
統括者等は，第１項の文書について，業務上それらを必要とする職員以外の者が，許
可なく閲覧することができないよう適切に保管しなければならない。
（情報システムの監視）
第１１条統括者等は，所管する情報システムの態様に応じ，不正侵入，障害等に関する
監視を行わなければならない。
２
統括者等は，監視結果に係る電子情報，出力帳票等について，消去及び改ざん防止措
置を講じるとともに，安全な場所に保管しなければならない。
３
統括者等は，職員が作成した電子情報，出力帳票等のうち，当該職員の個人情報が含
まれる可能性があるものを当該職員の承諾なしに閲覧するとき（法令に定めがある場合
を除く。
）は，高度情報化推進統括責任者の許可を得なければならない。
（不正アクセス対策）
第１２条統括者等は，不正アクセス行為を防止するため，次に掲げる事項を実施しなけ
ればならない。
(1) 使用を終了した又は使用する予定がない通信回線及び通信経路については，長期間
通信可能な状態で放置しないこと。
(2) 情報セキュリティに関する情報を収集するとともに，ハードウエア及びソフトウェ
アに係る修正プログラムが公開されたときは，必要に応じて動作確認等の検証を行っ
た上で，速やかに当該修正プログラムの適用を実施すること。
(3) 不正アクセス行為による外部公開用ホームページの書換えを確実に防止するために，
外部公開用ホームページの更新が当該更新に係る事務を担当する職員により行われた
ものであるか否かにかかわりなく，外部公開用ホームページの書換えを検出し，不正
アクセス行為によるものでないことを確認するために必要な措置を講じること。
(4) 外部アクセスサーバの設定に係るファイル等について，定期的に改ざんの有無を検
31
査すること。
２
統括者等は，
情報システムに対する不正アクセス行為が行われたことを知ったときは，
「情報セキュリティ緊急時対応基準」に従い，直ちに適切な対応を行わなければならな
い。
（外部ネットワークに接続した情報システムの管理）
第１３条統括者等は，第８条ただし書の場合において，外部ネットワークからの情報シ
ステムへのアクセスについて管理を徹底しなければならない。この場合において，情報
システム業務責任者にあっては，外部ネットワークを高度情報化推進統括者の適切な管
理の下で利用するものとする。
２
統括者等は，必要に応じ，外部ネットワークとの接続点に外部からの不正アクセス行
為を検知及び防止する機能を有する機器を設置し，
アクセスを制限しなければならない。
３
統括者等は，接続した外部ネットワークのセキュリティに問題があり，情報資産に悪
影響が生じるおそれがあるときは，速やかに当該ネットワークとの接続を切断しなけれ
ばならない。この場合において，情報システム業務責任者にあっては，高度情報化推進
統括者の判断に従うものとする。
（通信装置の廃棄）
第１４条統括者等は，通信装置を廃棄するときは，通信装置の内蔵記録媒体のすべての
情報を復元が不可能な状態にしなければならない。
第４章教育イントラネットの管理
（教育イントラネットの運用）
第１５条高度情報化推進統括者は，保守点検，改修など，教育イントラネットの適切な
管理運営のためにやむをえない場合は，教育イントラネットを停止することができる。
２
高度情報化推進統括者は，前項の規定により教育イントラネットを停止する場合は，
事前に職員に通知しなければならない。ただし，緊急を要する場合はこの限りでない。
（教育イントラネットのセキュリティ対策）
第１６条高度情報化推進統括者は，教育イントラネットに接続している情報システムを
主管する情報システム業務責任者に対して，教育イントラネットの適切な維持管理に必
要な設定を各情報システムについて実施させなければならない。
（教育イントラネットへの新規接続）
32
第１７条情報システム業務責任者は，情報システムの新規構築等により，当該情報シス
テムを新たに教育イントラネットに接続する必要が生じたときは，高度情報化推進統括
者の許可を得なければならない。
（不正接続への対応）
第１８条高度情報化推進統括者は，承認を与えずに，又は承認を与えたものとは異なる
状態で，情報システムが教育イントラネットに接続されていることを発見したときは，
当該情報システムとの接続を切断することができる。
（電子メールに関する設定）
第１９条高度情報化推進統括者は，電子メールの不正な第三者中継を不可能とする等，
教育委員会事務局，教育機関及び学校並びに外部の情報システムに悪影響を与えないよ
うな設定を施さなければならない。
２
高度情報化推進統括者は，電子メールの自動転送（受信したメールを指定した相手に
自動的に送信することをいう。
）
の機能を用いて電子メールを外部に転送できない設定を
施さなければならない。ただし，特段の事情があると認めるときは，この限りでない。
（ファイルサーバに関する設定）
第２０条高度情報化推進統括者は，教育イントラネットのファイルサーバを設置するに
当たり，職員が保存するファイルの内容に応じて閲覧及び使用できる職員を限定できる
仕組みを構築しなければならない。
２
情報セキュリティ担当者は，
課等のみで利用するファイルサーバを設置するに当たり，
職員が保存するファイルの内容に応じて閲覧及び使用できる職員を限定できる仕組みを
構築しなければならない。
（教育イントラネット監視方針）
第２１条高度情報化推進統括者は，運用及び利用状況を監視し，必要な情報の収集及び
分析を行わなければならない。
２
高度情報化推進統括者は，教育イントラネットと外部ネットワークとの間で送受信さ
れる通信内容について，次に掲げる内容を監視しなければならない。
(1) 外部への通信権限の有無
(2) 通信先及び通信状況
(3) コンピュータウイルスの検出状況
３
高度情報化推進統括者は，前項に掲げる監視を実施するために必要な機器及び体制を
整備しなければならない。
４
高度情報化推進統括者は，監視内容を決定，追加及び変更したときは，高度情報化推
33
進統括責任者へ報告しなければならない。
５
高度情報化推進統括者は，第１項に掲げる監視により，異常を発見したときは，直ち
に必要な措置を講じなければならない。
第５章雑則
（補則）
第２２条この基準の実施に関して必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
34
第１号様式（第３条第３項関係）
ネットワーク構築承認申請書
平成
年
月
日
（宛先）
高度情報化推進統括者
（情報システム業務責任者）
（担当
）
ネットワーク管理基準第３条第３項の規定により，ネットワークの構築又は構成の変更
について承認を受けたいので，次のとおり申し出ます。
記
ネットワークの名称
構築又は構成の変更
の別
□
構築
外部ネットワークへの
接続の有無
□
無
□
構成の変更
□
有（教育イントラネットを経由する）
□
有（教育イントラネットを経由しない）
目的及び概要
処理内容
情報セキュリティ対策
備考
１
ネットワーク構成図並びにネットワークを構成する機器及びソフトウェアに関する
資料を添付すること。
２第８条第１項の規定により，教育イントラネットを経由せずに外部ネットワークに
接続する許可を受けようとするときは，同条第３項に規定する「外部ネットワーク接
続許可申請書」
（第３号様式）を添付すること。
35
第２号様式（第３条第４項関係）
ネットワーク構築検討結果通知書
平成
年
月
日
（情報システム業務責任者）
様
高度情報化推進統括者
ネットワーク管理基準第３条第３項の規定によるネットワークの構築又は構成の変更
について，次のとおり検討の結果を通知します。
記
承認又は不承認の別
承
認
不承認
ネットワークの名称
外部ネットワークへの
接続の有無
□
無
□
有（教育イントラネットを経由する）
□
有（教育イントラネットを経由しな
い）
接続条件，留意事項
又は不承認の理由
その他
36
第３号様式（第８条第２項関係）
外部ネットワーク接続許可申請書
平成
年
月
日
（宛先）
高度情報化推進統括者
（情報システム業務責任者）
（担当
）
ネットワーク管理基準第８条第２項の規定により，教育イントラネットを経由せずに情
報システムを外部ネットワークに接続することについて許可を受けたいので，次のとおり
申し出ます。
記
情報システム名
情報システムの
処理内容
接続先の外部ネット
ワーク及び外部ネット
ワークへの接続方法
接続の理由
教育イントラネットを
経由させることができ
ない特段の事情
備考外部ネットワークとの接続点に配置される機器及びソフトウェアの構成並びに外部
ネットワークとの通信手段及び通信内容に関する資料を添付すること。
37
第４号様式（第８条第３項関係）
外部ネットワーク接続検討結果通知書
平成
年
月
日
（情報システム業務責任者）
様
高度情報化推進統括者
ネットワーク管理基準第８条第２項の規定による外部ネットワークへの接続について，
次のとおり検討の結果を通知します。
記
承認又は不承認の別
承認
情報システム名
接続先の
外部ネットワーク
接続条件，留意事項
又は不承認の理由
その他
38
不承認
６ネットワーク利用基準
第１章総則
（目的）
第１条この基準は，ネットワークの利用に関し，必要な事項を定める。
（定義）
第２条この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関
する規程に規定するもののほか，次の各号に掲げる用語の意義は，それぞれ当該各号に
定めるところによる。
⑴
電子計算機等電子計算機及びこれに接続される周辺機器をいう。
⑵
ネットワーク複数の電子計算機等を通信回線で結合し，所定の通信様式に従って
情報を送受信するための通信回線網をいう。
⑶
通信装置
ネットワークへの接続のために設置され，電子計算機等によりネット
ワーク上を送受信される情報の制御を行うための，ルータ，ハブ，ファイアウォール
等の装置をいう。
⑷
サーバ情報システムにおいて，他の電子計算機に対し機能や情報を提供する役割
の電子計算機をいう。
⑸
サービスサーバ装置上で動作しているソフトウェアにより，当該サーバと接続し
た電子計算機に対して提供される単独又は複数の機能で構成される機能群をいう。
⑹
ホームページインターネット又は教育イントラネット上で公開されている文書を
いい，
画像，
音声及び動画並びに電子掲示板その他インターネット上で提供されるサー
ビスを含む。
⑺
ファイルサーバ情報システム利用者が電子情報を格納するサーバをいう。
(8) 教育イントラネット京都市教育委員会ネットワークのうち，イントラネット部分
をいう。
(9) 事務系ネットワーク教育イントラネットのうち，教育委員会事務局及び教育機関
における事務処理及び学校における校務処理に利用するネットワークをいう。
(10) 学習系ネットワーク教育イントラネットのうち，学校において児童生徒の学習の
ために利用するネットワークをいう。
（ネットワークの利用に関する基本事項）
第３条職員は，ネットワークを業務の効率化及び教育行政，教育活動の向上を図ること
39
を目的として利用するものとし，業務目的以外の利用，情報資産のセキュリティを脅か
す行為，その他公序良俗に反する行為等を行ってはならない。
２
職員は，高度情報化推進統括者の許可なく，ネットワークを構築してはならない。
（無断接続等の禁止）
第４条職員は，高度情報化推進統括者又は情報システム業務責任者（以下「統括者等」
という。
）の許可なく，次に掲げる行為を行ってはならない。
(1) 教育委員会事務局，教育機関及び学校のネットワークに電子計算機及び通信装置を
接続する行為
(2) 教育委員会事務局，教育機関及び学校のネットワーク，通信装置及び電子計算機の
構成を変更する行為
(3) 教育委員会事務局，教育機関及び学校のネットワークへの接続許可を受けた電子計
算機に，ソフトウェアを導入する行為（第２項に規定する行為を除く。
）
(4) 教育委員会事務局，教育機関及び学校のネットワークへの接続許可を受けた電子計
算機を，他のネットワークに接続する行為
２
職員は，情報セキュリティ担当者の許可なく，学習系ネットワークへの接続許可を受
けた電子計算機に，学習用又は学習指導用のソフトウェアを導入してはならない。
（ネットワーク及びサービスの利用）
第５条職員は，統括者等の許可なく，教育委員会事務局，教育機関及び学校の有するネッ
トワーク及び当該ネットワークを介して提供されるサービス（以下「サービス」という。
）
を利用してはならない。
２
前項の許可を受けた職員は，サービスを利用するに当たり，次に掲げる事項を遵守し
なければならない。
(1)「情報システム利用者管理基準」
第１５条及び第１６条に従い適切に利用すること。
(2) 付与された利用者権限を超える行為を行わないこと。
(3) 業務上の目的以外のために利用しないこと。
(4) ネットワークに著しい負荷を生じさせないこと。
(5) ネットワーク上を流れる電子情報の採取及び解析を行わないこと。ただし，統括者
等の許可を得た場合は，この限りでない。
(6) 統括者等の指定する方法で利用すること。
(7) 本市組織内の電子情報の受け渡しは，行政業務情報システム又は事務系ネットワー
クを用いて行うこと。ただし，行政業務情報システム若しくは事務系ネットワークを
用いることが著しく非効率な場合又は行政業務情報システム若しくは事務系ネット
ワーク上の制限等により行政業務情報システム若しくは事務系ネットワークを用いる
ことが不可能な場合は，この限りでない。
40
(8) サービスを受ける必要がなくなった場合は，速やかに許可を受けた統括者等に報告
するとともに，その指示に従い，電子計算機のネットワークからの切り離し，設定情
報の削除等を行うこと。
(9) 必要がなくなった電子情報及び設定情報については速やかに削除し，情報資源の有
効活用及び不正利用を防止すること。ただし，公文書として取り扱う電磁的記録につ
いては，京都市教育委員会事務局公文書取扱規程又は京都市立学校幼稚園文書取扱規
程に基づき適切に処理すること。
第２章インターネットの利用
（使用するネットワーク及び機器）
第６条職員は，インターネットを利用するに当たり，高度情報化推進統括者が指定する
機器を使用し，教育イントラネットを経由して接続しなければならない。
２
前項の規定にかかわらず，職員は，
「ネットワーク管理基準」第８条第１項の許可を得
た情報システムを利用するときは，教育イントラネットを経由せずにインターネットを
利用することができる。
（インターネットの利用に関する基本事項）
第７条職員は，地方公務員法等で定められている守秘義務の対象となる情報，京都市個
人情報保護条例上の個人情報，京都市公文書公開条例上の個人に関する情報，法令等に
より公開することが禁止されている情報，その他公開することにより公序良俗に反する
おそれのある情報等を，インターネットを介して送信し，又は，送信可能な状態にし，
若しくは受信するよう仕向けてはならない。ただし，高度情報化推進統括者の許可を得
た場合はこの限りでない。
２
前項の許可を得て送信し，又は送受信可能な状態とし，若しくは受信するよう仕向け
る場合は，暗号化，電子署名等の対策を組み合わせて行うなど，実施前にその安全性に
ついて十分な検証を行ったうえで行わなければならない。
第３章ホームページの閲覧
（ホームページ閲覧時に使用するソフトウェア）
第８条職員は，
ホームページを閲覧するに当たり，
高度情報化推進統括者が指定するホー
ムページ閲覧ソフトを使用し，次に掲げる事項を遵守しなければならない。
⑴
高度情報化推進統括者が指定する設定を施すこと。また，高度情報化推進統括者の
41
許可なく設定を変更しないこと。
⑵
高度情報化推進統括者から指示があったときは，閲覧ソフトを最新版に更新するこ
と。
（ホームページ閲覧時の注意事項）
第９条職員は，高度情報化推進統括者がホームページ閲覧状況を監視，記録しているこ
とに留意しなければならない。
２
職員は，ホームページを閲覧するに当たり，次に掲げる事項を遵守しなければならな
い。
(1) 業務以外の目的でホームページを閲覧しないこと。
(2) 高度情報化推進統括者が閲覧を禁止するホームページを閲覧しないこと。ただし，
高度情報化推進統括者の許可を得た場合はこの限りでない。
(3) 業務上必要のないファイルをダウンロードしないこと。
(4) ダウンロードしたファイルは，
「コンピュータウイルス等の脅威に関する対策基準」
に従い処理すること。
３
職員は，教育委員会事務局，教育機関及び学校並びに本市以外の団体又は個人が管理
する電子掲示板等に書き込みをしてはならない。ただし，情報セキュリティ担当者が業
務上必要と認めた場合はこの限りではない。
４
職員は，会員制のウェブサイト等に登録及び閲覧をしてはならない。ただし，事務系
ネットワークにおいては高度情報化推進統括者が，学習系ネットワークにおいては情報
セキュリティ担当者が業務上必要と認めた場合はこの限りではない。
（パスワード入力を求められるサイトの閲覧）
第１０条職員は，パスワードの入力を求められるホームページを閲覧するに当たり，次
に掲げる事項を遵守しなければならない。
(1) パスワードをホームページ閲覧ソフトに保存しないこと。
(2) 閲覧途中で離席するときは，他者に無断で利用されることを防ぐため必要な措置を
講じること。
(3) 他者の識別コード及びパスワードを使用しないこと。
(4) その他，高度情報化推進統括者から指示された事項を遵守すること。
第４章電子メールの利用
（使用可能な電子メールアドレス）
第１１条職員は，事務系ネットワークに接続された電子計算機で電子メールを送受信す
42
るに当たり，高度情報化推進統括者から付与された個人用の電子メールアドレス又は共
用メールアドレス（課等の代表電子メールアドレスをいう。以下同じ。
）を使用すること
とし，他者に付与された電子メールアドレス及び本市以外の者が提供する電子メールア
ドレスを使用してはならない。
２
前項の規定は，学習系ネットワークでの電子メールアドレスについて準用する。この
場合において，
「高度情報化推進統括者」を「情報セキュリティ担当者」と読み替える。
３
共用メールアドレスの利用範囲その他の運用については，別に定める。
（電子メール送受信に使用する機器）
第１２条職員は，電子メールを送受信するに当たり，高度情報化推進統括者が指定する
機器を使用しなければならない。
（電子メールの送受信に使用するソフトウェア）
第１３条職員は，電子メールを送受信するに当たり，高度情報化推進統括者が指定する
ソフトウェアを使用し，次に掲げる事項を遵守しなければならない。
(1) 高度情報化推進統括者が指定する設定を施すこと。また，高度情報化推進統括者の
許可なく設定を変更しないこと。
(2) 「ネットワーク管理基準」第１９条第２項により高度情報化推進統括者が利用可能
とする設定を施している場合を除いて，自動転送の機能を利用しないこと。
（電子メールの利用）
第１４条職員は，
電子メールを利用するに当たり，
次に掲げる事項を行ってはならない。
(1) 業務以外の目的での利用
(2) メーリングリストへの参加。ただし，情報セキュリティ担当者が業務上必要と認め
た場合はこの限りではない。
（送信時の遵守事項）
第１５条職員は，電子メールを送信する前に，次に掲げる事項を遵守しなければならな
い。
(1) 宛先に誤りがないことを確認すること。
(2) 複数人に送信する場合において，必要があるときを除き，他の送信先の電子メール
アドレスが分からないようにすること。
(3) 添付ファイルを送信する必要があるときは，添付前にウイルス検索を行うこと。
(4) 別に定める容量を超える電子情報を送信しないこと。
(5) 別に定める容量を超える電子情報を送信する必要があるときは，当該電子情報を圧
縮又はファイルの分割を行い，別に定める容量を超えないようにしたうえで送信する
43
こと。
（受信時の確認事項）
第１６条職員は，電子メールを受信するときは，次に掲げる事項を遵守しなければなら
ない。
(1) 不審な電子メールの添付ファイルは開かず削除すること。
(2) 不審な電子メールの受信確認要求は拒否すること。
(3) 添付ファイルがあるときは，開封前にファイルのウイルス検索を行うこと。
(4) 前号の場合において，コンピュータウイルスを検出したときは，
「コンピュータウイ
ルス等の脅威に関する対策基準」に従い対応すること。
（送信内容について）
第１７条職員は，各々の電子メールの利用状況が，高度情報化推進統括者により監視さ
れていることに留意しなければならない。
２
職員は，次に掲げる内容の電子メールを送信及び転送してはならない。
(1) 次の情報を含む電子メール
ア
法令（条例を含む。
）の規定により秘密として保護することとされている情報
イ
関係職員以外の者に知られることが適当でない個人情報等の秘匿情報
ウ
漏えいした場合，本市教育行政及び教育活動に対する信頼を著しく阻害し，かつ，
その円滑な執行を妨げるおそれがある情報
エ
滅失し，又はき損した場合，その復元が著しく困難となり，本市教育行政及び教
育活動の円滑な執行を妨げるおそれがある情報
(2) スパムメール（不特定多数の電子メールアドレスを対象として送信される広告宣伝
や嫌がらせの電子メールをいう。
）
，チェーンメール（同じ内容のメールを他者へ転送
することを要求する電子メールをいう。
）等の受信者にとって迷惑となる電子メール
(3) デマや流言飛語のような最初の発信者が不明で内容の信ぴょう性が疑わしい電子
メール
第５章ファイルサーバの利用
（ファイルサーバの利用）
第１８条職員は，本市の有するファイルサーバを利用するに当たり，次に掲げる事項を
遵守しなければならない。
(1) 業務上の目的のみに用いること。
(2) 他の職員が閲覧，変更又は削除することが不適当な電子情報については，他の職員
44
が閲覧できないようアクセス権を設定したフォルダに保存すること。
(3) 利用する見込みがない電子情報を保存しないこと。
(4) 利用頻度の少ない電子情報については，外部記録媒体に保存するなど，使用量の削
減に努めること。
(5) 情報セキュリティ担当者は，職員が別に定める容量以上の領域を使用しないよう指
導しなければならない。
２
情報セキュリティ担当者は，職員に事故があるとき又は業務上緊急を要するときは，
アクセス権を設定したフォルダに当該職員が保存した電子情報を利用することができる。
第６章雑則
（違反への対応）
第１９条職員が本基準に違反する行為，若しくは同行為の未遂，又は，そのほう助，若
しくは教さを行った場合は，その重大性及び発生した事件の状況に応じて，一定期間，
当該職員のネットワークの利用停止処分を行う。
２
本基準に違反する行為，若しくは同行為の未遂，又は，そのほう助で使用した電子計
算機については，その重大性及び発生した事件の状況に応じて，統括者等が記録されて
いる情報の消去を行うこととし，消去が行われるまでの間は利用停止とする。
（補足）
第２０条本基準の実施に関し必要な事項は，管理するネットワークに応じて，統括者等
が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
45
７情報システムの調達及び開発に関する管理基準
（趣旨）
第１条この基準は，情報システムの調達及び開発に関する管理に当たり必要な事項を定
める。
（定義）
第２条この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関
する規程に規定するもののほか，次の各号に掲げる用語の意義は，それぞれ当該各号に
定めるところによる。
⑴
ソフトウェア電子計算機を動作させる手順及び命令を電子計算機が理解できる形
式で記述したものをいう。
⑵
情報システムの導入購入，リース，レンタル，職員又は外部委託による開発等に
より情報システムを新たに設置することをいう。
⑶
ソースコードプログラム用の言語で書かれた，電子計算機に対して一連の指示を
するためのデータをいう。
⑷
基本ソフト Windows など，電子計算機を動作させるための入出力等の基本的な機
能を提供するためのソフトウェアをいう。
（情報システムの導入等）
第３条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
は，情報システムの導入又は更新を行う場合は，あらかじめ，京都市個人情報保護条例
に基づき個人情報保護審議会の意見を聴くなど，必要な手続を踏まなければならない。
（情報システムの調達）
第４条統括者等は，情報システムの導入及び変更に当たり，関連する情報資産に対して
想定される脅威を分析したうえで，必要なセキュリティ機能を有するよう設計し又は電
子計算機等の選定をしなければならない。
（開発又は保守に際し定める事項）
第５条統括者等は，情報システムの開発又は保守に当たり，事故及び不正行為を防止す
るため，必要に応じて，次の各号に掲げる事項を定めなければならない。
(1) 責任者及び監督者
(2) 作業者及び作業範囲
46
(3) 開発又は保守をする情報システムのソースコードの提出義務
(4) 開発又は保守の作業記録の提出義務
(5) 開発又は保守の際に情報セキュリティ面で問題となるおそれがある基本ソフト及び
ソフトウェアの使用の禁止に関する事項
（開発時又は保守時の安全対策）
第６条統括者等は，情報システムの開発又は保守に当たり，事故及び不正行為を防止す
るため，次の事項を実施しなければならない。
(1) 開発又は保守に伴う事故及び不正行為に係る危険性の分析
(2) 開発又は保守をする情報システムと既存の情報システムとの分離
(3) 開発又は保守の際のアクセスの制限
(4) 機器の搬出入の規制
(5) 定められた場所でのマニュアル等の保管
(6) 開発又は保守の終了後における当該開発又は保守を行った者の識別コードの削除
（情報システムの導入時及び保守時の試験）
第７条統括者等は，新たな情報システムを導入し又は保守するとき及び既に稼動してい
る情報システムに他の情報システムを接続するときは，稼動前に十分な試験を行わなけ
ればならない。
２
統括者等は，前項の場合において，試験用に使用した電子情報，入出力帳票及び試験
の結果についての資料を厳重に保管し，情報システム業務責任者にあっては，高度情報
化推進統括者の求めに応じて複製を提出しなければならない。
（ソフトウェアの更新等）
第８条統括者等は，ソフトウェアを更新し，又は修正プログラムを導入するときは，ソ
フトウェア又は修正プログラムに不具合がないこと及び当該ソフトウェア又は修正プロ
グラムが他の情報システムにおいて正常に作動することを確認しなければならない。
２
統括者等は，
情報セキュリティに重大な影響を及ぼすソフトウェアの欠陥に対しては，
修正プログラムを実行する等により速やかな対応を行わなければならない。
（関連文書の整備）
第９条統括者等は，所管する情報システムを管理するため，情報システムに係る次の各
号に掲げる文書を整備し，情報システム業務責任者にあっては，高度情報化推進統括者
の求めに応じて提出しなければならない。
(1) 電子計算機及びその周辺機器，ソフトウェア並びにネットワークへの接続状況を管
理する文書
47
(2) ネットワーク（電源及びネットワーク等の配線図を含む。
）の構成図
(3) 仕様書
(4) 利用者及び利用者権限を管理する文書
(5) 「情報セキュリティ緊急時対応基準」第３条に既定する緊急時の対応に係る文書
２
統括者等は，前項の文書の内容に変更が生じたときは，直ちに当該変更の内容を文書
へ反映し，常に最新の状態を維持するとともに，当該変更履歴の記録を保存しなければ
ならない。
３
統括者等は，第１項の文書について，業務上それらを必要とする職員以外の者が許可
なく閲覧することができないように保管しなければならない。
（補則）
第１０条この基準において別に定めることとされている事項及びこの基準の実施に関し
て必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
48
８情報システムの委託に関する管理基準
（趣旨）
第１条この基準は，教育委員会事務局，教育機関及び学校における情報システムに係る
外部委託及び外部要員の管理に関し，必要な事項を定める。
（定義）
第２条この基準において，外部委託とは，次の各号に掲げる事項の一部又は全部を教育
委員会事務局，教育機関及び学校並びに本市以外の者に請け負わせることをいう。
(1) 情報システムに関する企画，開発，保守，運用等
(2) 電子計算機を使用して行われる情報の入力，蓄積，編集，加工，修正，更新，検索，
消去，出力その他これらに類する処理（以下「電子計算機処理」という。
）
２
この基準において，外部要員とは，教育委員会事務局，教育機関及び学校の情報資産
を取り扱うことを認められた者であって，次の各号のいずれかに該当する者をいう。
(1) 外部委託契約に基づき，教育委員会事務局，教育機関及び学校の情報資産を取り扱
う者
(2) 人材派遣契約により教育委員会事務局，教育機関及び学校に派遣された者
(3) その他職員以外の者で教育委員会事務局，教育機関及び学校の情報資産の取扱いを
許可された者
３
この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関する
規程（以下「規程」という。）に規定するもののほか，次の各号に掲げる用語の意義は，
それぞれ当該各号に定めるところによる。
⑴
電子情報等記録媒体等に記録されている電子情報及び電子計算機処理に係る入出
力帳票をいう。
⑵
ドキュメントシステムフローチャート（情報システムの処理の流れを視覚的に捉
えるため，図形を用いて描いたものをいう。
）
，入出力帳票設計書（帳票のレイアウト
を示す文書をいう。
）
，ファイル設計書（情報システムで処理する電子情報内に保有す
る項目やその位置などを定義する文書をいう。
）
，プログラム説明書（プログラムの機
能を定義する文書をいう。
）
，プログラムフローチャート（プログラムの処理の流れを
視覚的に捉えるため，図形を用いて描いたものをいう。
）
，操作手順書など情報システ
ムに関連する文書をいう。
（契約書又は仕様書の記載事項）
第３条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
49
は，外部委託事業者に規程及び情報セキュリティ対策基準を遵守させるため，所管する
情報システムに係る外部委託契約書又は仕様書に，次の各号に掲げる事項を明記しなけ
ればならない。
(1) 再委託の禁止又は制限に関する事項
(2) 京都市個人情報保護条例の遵守義務に関する事項
(3) 業務上知り得た情報の守秘義務に関する事項
(4) 電子情報等及びドキュメントの指示された目的外の使用及び第三者への提供の禁
止に関する事項
(5) 電子情報等及びドキュメントの複写及び複製の禁止に関する事項
(6) 従業員に対する教育の実施に関する事項
(7) 教育委員会事務局，教育機関及び学校に対する定期的な報告義務に関する事項
(8) 教育委員会事務局，教育機関及び学校による定期的又は随時の監査の受入れに関す
る事項
(9) 情報セキュリティ事故が発生した場合における報告義務に関する事項
(10) 前各号に掲げる事項に違反した場合における契約の解除等の措置及び損害賠償義務
に関する事項
２
前項の契約書又は仕様書には，必要に応じ，次の各号に掲げる事項を明記するものと
する。
(1) 電子情報等及びドキュメントの授受及び搬送に関する事項
(2) 委託先における電子情報等及びドキュメントの保管及び廃棄に関する事項
(3) その他委託先に実施させる情報セキュリティ対策に関する事項
（個人情報を取り扱う情報システムに関する委託契約）
第４条統括者等は，個人情報を取り扱う情報システムに関する業務を委託する場合は，
原則として委託業務の履行について再委託を承認してはならない。
２
統括者等は，事業者から再委託の承認を求められた場合又はあらかじめ委託業務の履
行に複数の事業者が関与することが想定される場合は，以下のいずれかの方法により契
約を締結しなければならない。
(1) 委託業務の履行に関与するすべての事業者と個別に契約を締結
(2) 委託業務の履行に関与するすべての事業者連名による契約を締結
(3) 委託業務の履行に関与するすべての事業者にコンソーシアムを構成させ，当該コン
ソーシアムの代表会社と契約を締結
（再委託の制限）
第５条第３条第１項第１号に掲げる制限を受ける再委託を認める必要がある場合は，書
面により事前申請を受け，書面により承認を与えなければならない。
50
２
統括者等は，前項の事前申請を受けたときは，次の各号に掲げる条件を満たさなけれ
ば，承認してはならない。
(1) 委託先事業者は，再委託を受ける者が，再委託の内容について履行能力を有し，契
約内容の適正な履行に支障がないことを証明できること。
(2) 再委託に係る契約書又は仕様書に，第３条第１項各号に掲げる事項が記載されてい
ること。
(3) 再委託を受けた者が，教育委員会事務局，教育機関及び学校に対して損害を与えた
ときは，委託先事業者が教育委員会事務局，教育機関及び学校に対して損害賠償責任
を負うこと。
（情報システムの開発又は保守に係る外部委託）
第６条統括者等は，情報システムの開発又は保守を外部委託するときは，次の各号に掲
げる事項を遵守しなければならない。
(1) 外部委託の受託者に対し，情報システムの仕様がわかる報告書を提出させること。
(2) 外部委託の受託者に対し，前条に基づく当該業務の再委託を承認するときは，当該
情報システムを導入する前に行う検査の項目を再委託契約書に定めさせること。
(3) 外部委託契約に基づく作業に従事する者に必要な資格等を定めること。
(4) 情報システムの開発又は保守作業中に，当該開発又は保守に係る外部委託契約に基
づく作業に従事する者に身分証明書の提示を求め，契約に定められた資格を有する者
であることを確認すること。
（誓約書等の提出）
第７条統括者等は，所管する情報システムの開発又は保守に係る外部委託において，委
託先事業者に教育委員会事務局，教育機関及び学校の情報資産を使用させるときは，必
要に応じ，当該事業者の代表者から要員名簿を提出させ，委託業務担当者本人から，秘
密の保持その他電子情報等の適切な取扱いに関する誓約書を提出させるものとする。
（機器の保守に係る委託）
第８条統括者等及び情報セキュリティ担当者は，記録媒体が含まれる機器の保守を外部
委託するときは，次の各号に掲げる事項を遵守しなければならない。
(1) あらかじめ，記録媒体に保存された電子情報を消去すること。
(2) 前号の実施が困難であるときは，当該外部委託に係る契約書に，秘密の保持に関す
る規定を設けること。
（委託先事業者に対する監査）
第９条統括者等は，委託先事業者及び再委託先事業者に対し，必要に応じて，契約書及
51
び仕様書に定めた内容が遵守されていることを確認するために，定期的又は随時の監査
を実施しなければならない。
（補則）
第１０条この基準において別に定めることとされている事項及びこの基準の実施に関し
て必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
52
９コンピュータウイルス等の脅威に関する対策基準
（趣旨）
第１条この基準は，コンピュータウイルス等の脅威（以下「脅威」という。
）によって引
き起こされる情報資産の漏えい，改ざん，滅失，き損等の被害を未然に防ぐとともに，
教育委員会事務局，教育機関及び学校並びに本市以外の団体及び個人に対する被害を生
じさせることのないよう，脅威に関する対策の実施に当たり必要となる事項を定める。
（定義）
第２条この基準において，京都市教育委員会高度情報化推進のための適正な利用等に関
する規程に規定するもののほか，次の各号に掲げる用語の意義は，それぞれ当該各号に
定めるところによる。
⑴
脅威コンピュータウイルス（電子計算機に保存した電子情報のき損，流出，電子
計算機の動作不良等の被害を起こす目的で作成された悪質なプログラムをいう。
）
，不
正アクセス（正当な権限を有しない者による不正な目的のための情報システムの操作
又は攻撃をいう。
）等の情報システムの正常な運用を妨げる要因をいう。
⑵
サーバ情報システムにおいて，他の電子計算機に対し機能や情報を提供する役割
の電子計算機をいう。
⑶
コンピュータウイルス対策ソフトコンピュータウイルスの感染を防止するため及
び感染したコンピュータウイルスを除去するためのソフトウェアをいう。
⑷
定義ファイルコンピュータウイルス対策ソフトがコンピュータウイルスを検出す
るために利用する情報をいう。
⑸
常時監視機能コンピュータウイルス対策ソフトが有する機能で，コンピュータウ
イルス感染を防止するため電子計算機内を常時監視し，コンピュータウイルスを検出
する機能をいう。
⑹
定期検索機能コンピュータウイルス対策ソフトが有する機能で，あらかじめ登録
された日時に自動的に電子計算機内を検索し，コンピュータウイルスを検出する機能
をいう。
⑺ 教育イントラネット京都市教育委員会ネットワークのうち，イントラネット部分を
いう。
(8) 事務系ネットワーク教育イントラネットのうち，教育委員会事務局及び教育機関
における事務処理及び学校における校務処理に利用するネットワークをいう。
(9) 学習系ネットワーク教育イントラネットのうち，学校において児童生徒の学習の
ために利用するネットワークをいう。
(10) 事務系パソコン
事務系ネットワークに接続することを許可された電子計算機を
53
いう。
(11) 学習系パソコン
学習系ネットワークに接続することを許可された電子計算機を
いう。
（高度情報化推進統括者の責務）
第３条高度情報化推進統括者は，本市における脅威に関する対策を統括し，所管する大
型汎用電子計算機及びイントラネットについて次の各号に掲げる事項を実施するととも
に，情報システム業務責任者が実施する脅威に関する対策を統括する。
⑴
コンピュータウイルスの感染を防止するなど，情報システムに関する脅威について
の対策を講じること。
⑵
利用者による操作記録，
コンピュータウイルス検出記録等の資料を定期的に分析し，
必要に応じて対策を講じること。
⑶
脅威発生時の対応手順を策定し周知すること。
⑷
脅威に関する監視及び情報収集を随時行い，必要に応じてサーバその他の機器に対
し必要な措置を講じるとともに，その脅威について利用者に注意を喚起すること。
⑸
その他の脅威に関する対策に関して必要な事項を実施すること。
（情報システム業務責任者の責務）
第４条情報システム業務責任者は，
所管する情報システムの脅威に関する対策を統括し，
前条に準じて当該情報システムの機能上及び運用上必要となる脅威に関する対策を実施
しなければならない。
（情報セキュリティ担当者の責務）
第５条情報セキュリティ担当者は，所管する特定の情報システムに属さない電子計算機
について，機能上及び運用上必要となる脅威に関する対策を実施しなければならない。
２
情報セキュリティ担当者は，高度情報化推進統括者及び情報システム業務責任者（以
下「統括者等」という。
）の指示に従い，所管する情報システム（教育イントラネットを
含む。
）の脅威に関する対策を実施しなければならない。
（コンピュータウイルス検索）
第６条コンピュータウイルス対策ソフトが導入されている情報システムを利用する職員
は，統括者等の定める標準設定に従い，常時監視機能を用いてコンピュータウイルス検
索を実施しなければならない。
２
前項に規定する職員は，統括者等の指示があるときを除き，コンピュータウイルス対
策ソフトの常時監視機能を停止させてはならない。
３
第１項に規定する職員は，次の各号に該当するときは，コンピュータウイルス対策ソ
54
フトを用いてコンピュータウイルス検索を行わなければならない。
(1) 外部記録媒体を所属する課等から持ち出し，又は所属する課等に持ち込むとき。
(2) 添付ファイルがある電子メールを送信し又は受信するとき。
(3) その他外部からファイルを取得したとき。
（コンピュータウイルスの検出等の脅威発生時の対応）
第７条職員は，前条第１項及び第３項のコンピュータウイルス検索によりコンピュータ
ウイルスが検出されたときは，直ちに情報セキュリティ担当者へ報告しなければならな
い。
２
情報セキュリティ担当者は，前項の報告を受け，コンピュータウイルス対策ソフトに
よりコンピュータウイルスを自動的に駆除できないときは，教育イントラネットに接続
する電子計算機及び特定の情報システムに属さない電子計算機については高度情報化推
進統括者へ，情報システム（教育イントラネットを除く。
）に属する電子計算機について
は主管する情報システム業務責任者へ報告し，その指示に従うとともに，感染ファイル
の配付元などの関係者に対してコンピュータウイルス検出の事実を通知しなければなら
ない。
３
統括者等は，主管する情報システムについて前項の報告を受けたときは，直ちに次の
各号に掲げる対応を行わなければならない。
(1) 当該コンピュータウイルスに関する情報収集を行うとともに，当該コンピュータウ
イルスに係る被害内容，感染範囲及び感染経路を調査すること。
(2) コンピュータウイルス感染の拡大を防止し，コンピュータウイルスを完全に駆除す
るために必要な措置を講じること。
４
コンピュータウイルスの感染による被害が重大な場合であるとき又はネットワーク等
を介してコンピュータウイルス感染が拡大する危険性があるときは，情報システム業務
責任者は，直ちに高度情報化推進統括者に報告し，その指示に従い，高度情報化推進統
括者は，
「情報セキュリティ緊急時対応基準」に従い，必要な措置を講じなければならな
い。
５
第１項から第４項までの規定は，コンピュータウイルス以外の脅威への対応について
準用する。
（コンピュータウイルス対策ソフトが導入されていない電子計算機）
第８条コンピュータウイルス対策ソフトが導入されていない電子計算機を利用する職員
は，外部記録媒体の持ち込み及び持ち出しに際し，事前にコンピュータウイルス検索が
可能な機器を用いてコンピュータウイルス検索を実施しなければならない。
２
前条の規定は，前項によりコンピュータウイルス等の脅威を検出した場合に準用する。
55
（脅威による被害が疑われる場合の対応）
第９条職員は，次の各号に該当するときは，コンピュータウイルス感染等の被害のおそ
れがあるため，情報セキュリティ担当者に報告しなければならない。
(1) 電子計算機が起動しないとき。
(2) 電子計算機が意図しない動作を行うとき。
(3) 不審なメッセージが表示されるとき。
(4) 初期画面が乱れ通常とは異なる状態のとき。
(5) 起動に著しく時間がかかるとき。
(6) 動作が著しく遅いとき。
２
情報セキュリティ担当者は，前項の報告を受けたときは，第７条第２項に準じた対応
をしなければならない。
３
高度情報化推進統括者は，前項の報告を受けたときは，直ちにコンピュータウイルス
感染等の被害の有無を調査し，その可能性があるときは適切な措置を講じなければなら
ない。
（その他の脅威に関する対策）
第１０条職員は，脅威による被害を防止するため，次の各号に掲げる事項を実施しなけ
ればならない。
(1) 不審なメール及び差出人が不明な電子メールは，添付されたファイルを開かず速や
かに削除すること。
(2) 情報システムについては主管する統括者等の，情報システムに属さない電子計算機
については情報セキュリティ担当者の許可なくソフトウェアを導入しないこと。
(3) 統括者等及び情報セキュリティ担当者が提供する脅威に関する情報を常に確認する
こと。
(4) その他，統括者等及び情報セキュリティ担当者が指示する脅威に関する対策を実施
すること。
（補則）
第１１条この基準の実施に関して必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
56
１０情報セキュリティ緊急時対応基準
第１章総則
（目的）
第１条この基準は，緊急時を想定し，情報システムをはじめとする情報資産の被害を未
然に防止し，又は被害の拡大を防止し早急な復旧を図るために必要な事項を定める。
（定義）
第２条この基準において，緊急時とは，次の各号の一に該当するときをいう。
(1) 情報資産の漏えい，改ざん，滅失，き損その他重大な事故が発生したとき。
(2) 情報システムの目的外利用その他重大な情報セキュリティポリシー違反行為があっ
たとき。
(3) コンピュータウイルス感染による被害が重大なとき。
(4) ネットワーク等を介してコンピュータウイルス感染が拡大する危険性があるとき。
(5) 情報システムが正常に動作せず教育行政又は教育活動に係る業務に支障をきたすと
き。
(6) 情報資産に影響を及ぼす災害が発生したとき。
(7) 前各号のほか，重大な情報セキュリティ事故が発生した場合及び発生するおそれが
あるとき。
第２章平常時の危機管理
（対応手順及び連絡体制図の作成）
第３条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
は，所管する情報システムに係る緊急時の対応について，次の各号に掲げる文書を作成
し，常に最新の状態を保つとともに，これを常備しなければならない。
(1) 緊急時の対応手順
(2) 緊急時の連絡体制図
（緊急時連絡網の作成）
第４条統括者等は，前条第２号の連絡体制図に役職名，担当者氏名及び緊急時連絡先を
記入した緊急時連絡網を作成しなければならない。
57
２
前項の緊急時連絡網は，統括者等の許可なく連絡網の構成員その他緊急時の対応に従
事する者以外の者に提供してはならない。
第３章緊急時の対応及び報告
（職員の責務）
第５条
職員は，第２条各号に該当する事項の発生若しくは発生のおそれがあることを
知ったときは，緊急時の連絡体制図に従い，直ちに情報セキュリティ担当者その他必要
な者に報告するとともに，当該情報システムの緊急時の対応手順を確認し，当該手順及
び情報セキュリティ担当者の指示に従わなければならない。
（情報セキュリティ担当者の責務）
第６条前条の報告を受けた情報セキュリティ担当者は，緊急時の連絡体制図に従い，直
ちに次の各号に掲げる者その他必要な者に報告するとともに，緊急時の対応手順に従い
必要な対応を行わなければならない。
(1) 教育イントラネットに係る緊急時
高度情報化推進統括者
(2) 教育イントラネット以外の情報システムに係る緊急時
情報システム業務責任者
(3) スタンドアロンパソコン（特定の情報システムに属さない電子計算機をいう。
）に係
る緊急時
高度情報化推進統括者
（情報システム業務責任者の責務）
第７条前条第２号の報告を受けた情報システム業務責任者は，緊急時の連絡体制図に従
い直ちに高度情報化推進統括者その他必要な者に報告するとともに，緊急時の対応手順
に従い必要な対応を行わなければならない。
２
軽易な事故（記録媒体の不良，電子計算機の誤操作その他の原因による電子情報のき
損又は停電，機器の故障その他の事故で，短時間に復旧可能なものをいう。以下同じ。
）
については，前項の規定にかかわらず，高度情報化推進統括者への報告を要しないもの
とする。
（報告対象者が不在のとき）
第８条第５条から前条までの場合において，報告対象者が不在のときは，上位の者に報
告するものとする。
（高度情報化推進統括者の責務）
第９条高度情報化推進統括者は，前２条の報告を受けたときは，詳細な調査を行なわな
58
ければならない。
２
高度情報化推進統括者は，第７条第１項の報告を受けたときは，高度情報化推進統括
責任者及び情報セキュリティ監理者に報告しなければならない。
３
軽易な事故については，前項の規定にかかわらず，高度情報化推進統括責任者及び情
報セキュリティ監理者への報告を要しないものとする。
４
高度情報化推進統括者は，報告を受けた内容から判断して，事件が第１０条各号に該
当するため，情報資産の保護のため即時に情報システムを停止する必要があると判断し
たときは，高度情報化推進統括責任者及び情報セキュリティ監理者への報告前に，情報
システムを停止する等の緊急対応措置を実施することができる。
（情報システムの停止）
第１０条高度情報化推進統括責任者は，事件の内容が次の各号に該当する場合，情報資
産の保護のために情報システムを停止する等の緊急対応措置を実施することができる。
(1) 情報システムに著しい支障を来す被害が継続して発生しているとき。
(2) 不正アクセスが継続しているとき。
(3) コンピュータウイルス等の不正プログラムが情報システムを経由して拡大している
とき。
(4) コンピュータウイルス等の不正プログラムが情報資産に深刻な被害を及ぼしている
とき。
(5) 災害等により電源を供給することが危険なとき，又は困難なとき。
(6) その他の情報資産に係る重大な被害が発生したとき及び発生するおそれがあるとき。
第４章緊急時対策本部
（緊急時対策本部の設置）
第１１条高度情報化推進統括責任者は，第９条の規定により報告を受けた事件が，情報
システム等の情報資産，市民その他の第三者に対し，直接的又は間接的に重大な被害を
与え，又は与える恐れがあるときは，京都市教育委員会情報セキュリティ緊急時対策本
部（以下「本部」という。
）を設置する。
２
本部の所管事務は，次のとおりとする。
(1) 対応方針の決定と対策の実施
(2) 情報の収集，整理及び分析
(3) 事件への対応に関する本市関係局等との総合調整
(4) 関係機関との連絡調整
(5) 市民への情報提供
59
(6) 報道機関への対応
(7) その他本部長が必要と認める事項
（本部の構成）
第１２条本部は，本部長及び本部員をもって構成する。
２
本部長は高度情報化推進統括責任者をもって充て，高度情報化推進統括責任者に事故
があるときは，情報セキュリティ監理者がこれを代理し，情報セキュリティ監理者に事
故があるときは，高度情報化推進統括者がこれを代理する。
３
本部長は，本部会議を招集し，会務を総理する。
４
本部員は，次に掲げる者とする。
(1)高度情報化推進統括責任者
(2) 情報セキュリティ監理者
(3) 高度情報化推進統括者
(4) 前各号に掲げる者のほか，高度情報化推進統括責任者が必要と認める関係職員
（会議）
第１３条本部長が，必要があると認めるときは，本部の会議（以下「本部会議」という。
）
を召集することができる。
（事務局）
第１４条本部に関する事務を処理するため，本部に事務局を置く。
２
事務局は，情報化推進総合センターが担当する。
（関係機関への報告）
第１５条本部は，事件の概要，影響及び対応について，次の各号に定める関係機関等へ
連絡しなければならない。
(1) 多くの市民に重大な被害が生じるおそれがあるとき。
教育長，本市関係機関，警察及びＩＰＡ（情報処理振興事業協会をいう。以下同じ。
）
並びに影響が考えられる市民及び法人
(2) 不正アクセスその他犯罪があると思料するとき，又は情報システムを経由して外部
の情報システムに被害を与えるおそれがあるとき。
教育長，本市関係機関，警察及びＩＰＡ
(3) 情報システムに関する被害が発生したとき。
ＩＰＡ，必要と認められる業者等
(4) その他の情報資産に係る被害が発生したとき。
関係部署等
60
（広報発表）
第１６条情報セキュリティ事故に関する広報発表の必要性については，本部会議におい
て協議するものとする。
（本部の解散）
第１７条本部は，本部会議において，緊急時に関する教育委員会事務局，教育機関及び
学校の対応が終了したことが確認され，本部長が解散を宣言したときに解散する。
２
本部の解散後も，情報セキュリティ事故に関する教育委員会事務局，教育機関及び学
校の対応が必要と認められるときは，本部会議において当該情報セキュリティ事故に関
する対策本部の設置を決議し，その事務を引き継ぐことができる。
３
前項の対策本部の構成員は，高度情報化推進統括責任者が指名する。
第５章緊急時対応班
（緊急時対応班の設置）
第１８条緊急時には，次の各号に掲げる者により構成される緊急時対応班を設置する。
(1) 高度情報化推進統括者
(2) 情報化推進総合センターに所属する副所長，担当課長，首席指導主事，担当課長補
佐，指導主事，専門主事，係長，担当係長，主事，所員及び職員のうち高度情報化推
進統括者が必要と認める者
(3) その他，高度情報化推進統括者が必要と認める者
（緊急時対応班の対応）
第１９条緊急時対応班に班長を置く。班長は，高度情報化推進統括者をもって充てる。
ただし，高度情報化推進統括者に事故があるときは，前条第 2 号による班員のうち，最
も高位の職位の者がその職務を代理する。
２
緊急時対応班は，別に定める緊急時の対応手順に従い必要な措置を講じるとともに，
随時本部に対応の状況を報告する。
（緊急時対応班の解散）
第２０条緊急時対応班は，緊急時に関する教育委員会事務局，教育機関及び学校の対応
が完了し，又本部が解散したときに解散する。
（緊急時対応後の措置）
61
第２１条統括者等は，情報資産が侵害された事件について，次の各号に定める事項を実
施しなければならない。
(1) 情報システムのアクセス記録の保存
(2) 当該事件に対処した経過の記録
(3) 証拠の保全及び再発防止のための暫定措置
(4) 再発防止のための暫定措置後に行う情報システムの復旧（情報システム業務責任者
にあっては，高度情報化推進統括者の許可を受けて行うことを要する。
）
第６章再発防止の措置
（再発防止策の策定）
第２２条高度情報化推進統括者は，情報資産が侵害された事件に係るリスクを分析した
うえで再発防止策を策定し，高度情報化推進統括責任者の承認を得なけなければならな
い。
２
前項の再発防止策には，必要に応じて，京都市教育委員会高度情報化推進のための情
報システムの適正な利用等に関する規程，情報セキュリティ対策基準又は手順書の改定
を含めなければならない。
３
高度情報化推進統括責任者は，
第１項により承認した再発防止策について，
情報セキュ
リティ監理者へ報告しなければならない。
４
情報セキュリティ監理者は，前項の再発防止策が不十分であると判断したときは，高
度情報化推進統括責任者に是正の勧告を行う。
第７章雑則
（補則）
第２３条この基準において別に定めることとされている事項及びこの基準の実施に関し
て必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
62
１１情報セキュリティ教育実施基準
（目的）
第１条この基準は，教育委員会事務局，教育機関及び学校の情報セキュリティ教育の実
施に関し，必要な事項を定める。
（規程等の周知）
第２条高度情報化推進統括者は，京都市教育委員会高度情報化推進のための情報システ
ムの適正な利用等に関する規程（以下「規程」という。
）及び情報セキュリティ対策基準
を周知するために，次の各号に掲げる事項を実施しなければならない。
(1) 職員に対する定期的な研修及び啓発
(2) 規程及び情報セキュリティ対策基準を改定したときの研修
２
前項の研修は，次の各号に掲げる事項を踏まえた内容とする。
(1) 規程及び情報セキュリティ対策基準を遵守することの重要性
(2) 規程及び情報セキュリティ対策基準を遵守するための役割，責任及び判断基準
(3) 規程及び情報セキュリティ対策基準に違反した場合に予想される事態
(4) その他情報セキュリティを確保するために必要な事項
３
高度情報化推進統括者は，職員が常に規程及び情報セキュリティ対策基準を参照でき
るようにしなければならない。
（管理者に対する教育）
第３条高度情報化推進統括者は，情報システム業務責任者及び情報セキュリティ担当者
に対し，それぞれの役割に応じ，次の各号に掲げる内容の研修を実施しなければならな
い。
(1) 情報セキュリティを確保するための情報システムの管理方法
(2) 職員の指導及び監督の方法
(3) その他情報システムのセキュリティを確保するために必要な事項
（職員に対する教育）
第４条高度情報化推進統括者は，職員に対し，あらゆる機会を捉えて，情報セキュリティ
に関する研修を実施しなければならない。
（管理者の責務）
第５条情報システム業務責任者及び情報セキュリティ担当者は，情報システムの運営管
63
理及び職員に対する指導監督に必要な知識を維持するために，第３条により高度情報化
推進統括者が実施する研修を受講しなければならない。
２
情報システム業務責任者及び情報セキュリティ担当者は，職員に対し，必要に応じて
情報セキュリティに係る情報提供，研修等を実施しなければならない。
（手順書の策定及び周知）
第６条高度情報化推進統括者，
情報システム業務責任者及び情報セキュリティ担当者
（以
下「統括者等」という。
）は，所管する情報システムを安全に運用するために必要となる
具体的な事項に関し，手順書を策定し，所管する情報システムの利用者に対し周知しな
ければならない。
２
統括者等は，前項の周知に当たっては，次の各号の内容を踏まえて実施しなければな
らない。
(1) 手順書を遵守することの重要性
(2) 手順書を遵守するための役割，責任及び判断基準
(3) 手順書に違反した場合に予想される事態
(4) その他情報セキュリティを確保するために必要な事項
３
統括者等は，職員が常に手順書を参照できるようにしなければならない。
（臨時的任用職員等に対する措置）
第７条統括者等は，電子計算機を非常勤職員，臨時的任用職員及び職員以外の者に利用
させるときは，
規程，
情報セキュリティ対策基準及び手順書のうち必要な項目について，
その内容を理解させるとともに，必要に応じて，規程，情報セキュリティ対策基準及び
手順書を理解し遵守する旨の誓約書（別記様式）に署名押印させたうえ，提出させなけ
ればならない。
（職員の責務）
第８条職員は，情報セキュリティに関する研修を受講し，情報セキュリティ確保の重要
性並びに規程，情報セキュリティ対策基準及び手順書の内容を理解し，遵守しなければ
ならない。
２
職員は，情報セキュリティ対策について不明な点，遵守することが困難な点等がある
ときは，速やかに情報セキュリティ担当者に相談し，指示等を受けなければならない。
（研修の記録及び報告）
第９条高度情報化推進統括者は，第２条から第４条に掲げる研修を行ったときは，次の
各号に掲げる内容の記録を作成し，３年の間保存する。
(1) 実施日
64
(2) 実施所属
(3) 受講者
(4) 内容
（補則）
第１０条この基準の実施に関して必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
65
別記様式（第７条関係）
誓約書
私は，（所属名）において，（情報システム名）を利用するに当たり，次
の事項の遵守を誓約致します。
1 京都市教育委員会高度情報化推進のための情報システムの適正な
利用等に関する規程，情報セキュリティ対策基準，情報セキュリティ対
策実施手順及び関係法令を遵守し，誠実に本業務を遂行すること。
2 本業務において知り得た事項については，従事する期間中はもとより
従事しなくなった後も，本業務に関連しない職員その他第三者に開示
しないとともに，利用しないこと。
平成
年
月
日
（宛先）
( 所属長）
（本人の氏名）
66
印
１２情報セキュリティに関する点検及び監査実施基準
（目的）
第１条この基準は，教育委員会事務局，教育機関及び学校の情報資産を漏えい，改ざん，
滅失，き損その他の事故，災害等から組織的かつ継続的に保護するため，教育委員会事
務局，教育機関及び学校の情報セキュリティに関する点検及び監査の実施に関し，必要
な事項を定める。
（自主点検）
第２条高度情報化推進統括者及び情報システム業務責任者（以下「統括者等」という。
）
は，所管する情報システムの取扱いについて，京都市教育委員会高度情報化推進のため
の情報システムの適正な利用等に関する規程（以下，
「規程」という。
）
，情報セキュリティ
実施基準及び実施手順の遵守状況を点検し，是正の必要性が認められるときは，情報シ
ステムの利用者に対し是正を指示しなければならない。
２
情報セキュリティ担当者は，所管する特定の情報システムに属さない電子計算機及び
課等で利用する情報システムの取扱いについて，規程，情報セキュリティ実施基準及び
実施手順の遵守状況を点検し，是正の必要性が認められるときは，利用者に対し是正を
指示しなければならない。
３
前２項の指示を受けた者は，遅滞なく是正改善を行わなければならない。
４
情報システム業務責任者及び情報セキュリティ担当者は，第１項及び第２項の点検を
実施したときは，
その結果を遅滞なく高度情報化推進統括者に報告しなければならない。
（内部監査）
第３条高度情報化推進統括者は，規程及び情報セキュリティ実施基準の遵守状況及び情
報システムの安全性を確認するため，関係職員へのヒアリング，課等への立入検査等の
実施により定期的に監査を実施しなければならない。
２
高度情報化推進統括者は，情報セキュリティの状況の変化に応じて必要と判断したと
きは，臨時的な監査を実施することができる。
３
高度情報化推進統括者は，前２項の監査を実施するときは，次の各号に掲げる事項を
明確にしなければならない。
(1) 監査班の構成
(2) 監査期日
(3) 監査対象（範囲）
(4) 実施内容
67
(5) その他監査の実施に当たり必要となる事項
４
高度情報化推進統括者は，
第１項及び第２項の監査の結果，
規程及び情報セキュリティ
実施基準の遵守状況又は情報システムの安全性に問題があるときは，情報システム業務
責任者及び情報セキュリティ担当者に対し是正を指示しなければならない。
５
前項の指示を受けた者は，指摘事項について遅滞なく是正改善を行い，その結果を高
度情報化推進統括者に報告しなければならない。
６
高度情報化推進統括者は，前項の報告を受け必要と判断したときは，改善状況につい
て確認するための監査を実施することができる。
（委託先事業者に対する監査）
第４条統括者等は，所管する情報システムに係る業務を外部委託したときは，委託を受
けた事業者（再委託を受けた事業者を含む。
）に対し，契約書及び仕様書に定めた内容が
遵守されていることを確認するために，必要に応じて，定期又は随時の監査を実施する
ものとする。
（外部監査）
第５条情報システムの安全性に関する技術的検証及び第３条に掲げる事項は，職員によ
る監査とは別に，専門的な知識及び技術を有する外部団体に委託して実施することがで
きる。
２
実施時期，外部団体の選定基準等実施に当たり必要となる事項は別途定める。
３
高度情報化推進統括者は，外部団体が業務上知り得た秘密を第三者に漏らすことがな
いよう，必要な措置を講じなければならない。
（監査結果の報告）
第６条高度情報化推進統括者は，第２条から第５条に掲げる監査の結果及び改善状況に
ついて，高度情報化推進統括責任者及び情報セキュリティ監理者に報告しなければなら
ない。
（補則）
第７条この基準において別に定めることとされている事項及びこの基準の実施に関して
必要な事項は，高度情報化推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
68
１３小型大容量記録媒体に係る運用管理基準
（趣旨）
第１条この運用管理基準は，京都市教育委員会高度情報化推進のための情報システムの
適正な利用等に関する規程に基づき，小型大容量記録媒体の取扱いに関し，必要な事項
を定めるものとする。
（使用の禁止）
第２条職員は，業務を遂行するに当たり，個人が所有する小型大容量記録媒体を使用し
てはならない。
（使用等の制限）
第３条職員は，業務を遂行するに当たり，次に掲げる小型大容量記録媒体及び機器（以
下「小型大容量記録媒体等」という。
）を使用し，及び使用のために公費で購入してはな
らない。
ただし，
京都市教育委員会が導入している暗号化ソフトに対応したセキュリティ
機能付き小型記録媒体又は撮影した画像を記録するためにあらかじめデジタルカメラに
付属しているものを除く。
⑴
ＵＳＢメモリ，ＳＤメモリカード，メモリスティック，コンパクトフラッシュ等の
フラッシュメモリ
⑵
マイクロドライブ等の小型ハードディスク
⑶
その他高度情報化推進統括者（以下「推進統括者」という。
）が指定した記録媒体
⑷
前３号の記録媒体の使用に必要なカードリーダ及びカードアダプタ
２
情報セキュリティ担当者は，前条及び前項本文の規定に違反する事実を発見したとき
は，直ちにその使用を停止させるなどの必要な措置を採るとともに，推進統括者に報告
しなければならない。
（使用等の許可）
第４条前条の規定にかかわらず，次の各号のいずれかに該当するときは，推進統括者の
許可を受けて，前条第１項各号に規定する小型大容量記録媒体等を業務で使用し，及び
使用のために公費で購入することができる。
⑴
デジタルカメラで撮影した画像を記録するための小型大容量記録媒体（以下「デジ
カメ用媒体」という。
）が，そのカメラにあらかじめ付属していないため，デジカメ用
媒体を購入する必要があるとき。
⑵
デジカメ用媒体の記録容量が不足していること又は同媒体がき損したことにより，
業務に支障が生じるため，同媒体を買い換える必要があるとき。
⑶
デジカメ用媒体を同時に複数人が使用するため，同媒体又はカードリーダを追加で
購入する必要があるとき。
⑷
業務で使用する機器が備える構造等の制約により，小型大容量記録媒体しか使用す
ることができず，かつ，その機器の代替品が存在しないとき。
69
⑸
前４号に掲げるもののほか，推進統括者が，業務の遂行に当たり特段の事情がある
と認めるとき。
２
前項第１号から第４号までの規定により推進統括者が許可する小型大容量記録媒体の
数量は，使用する機器１台に対して，業務上，必要最小限度の記録容量を持つものとす
る。
（使用等の申請）
第５条情報セキュリティ担当者は，前条に掲げる事由により，小型大容量記録媒体等を
使用し，及び使用のために購入しようとするときは，次に掲げる事項について記載した
小型大容量記録媒体導入許可申請書（第１号様式）により，推進統括者に申請しなけれ
ばならない。
⑴
小型大容量記録媒体等の名称，記録容量及び数量
⑵
導入理由
⑶
小型大容量記録媒体を格納する機器の種類，名称及び型番
⑷
小型大容量記録媒体等の使用方法及び管理方法
２
推進統括者は，前項に規定する申請書を受理したときは，許可の適否を判断し，その
旨を小型大容量記録媒体導入通知書（第２号様式）により，情報セキュリティ担当者に
通知しなければならない。
（個人情報保管票の更新）
第６条情報セキュリティ担当者は，推進統括者の許可を受けて購入した小型大容量記録
媒体に個人情報を含むファイルを保存するときは，直ちに個人情報保管票に必要事項を
記載しなければならない。
（支出命令書の添付資料）
第７条推進統括者の許可を受けて購入する小型大容量記録媒体等に係る支出命令書を出
納機関に送付するときは，第５条第２項の規定による通知書の写しを添付するものとす
る。
（小型大容量記録媒体等の引継ぎ）
第８条情報セキュリティ担当者は，不用となった小型大容量記録媒体等があるときは，
その記録媒体等を推進統括者に引き継がなければならない。この場合は，京都市物品会
計規則第２０条に規定する所管換えの手続によるものとする。
２
推進統括者は，前項の規定により引き継いだ小型大容量記録媒体等を適正に管理し，
必要に応じて他の所属に再配付するなど，
その記録媒体等の有効活用を図るものとする。
（再配付の手続）
第９条小型大容量記録媒体等の再配付については，第４条，第５条，第６条及び前条の
規定を準用する。
70
（小型大容量記録媒体及び申請機器の使用及び管理）
第１０条職員は，小型大容量記録媒体の紛失及び他の用途への転用を防ぐため，原則と
して，その記録媒体を第５条第１項第３号の規定により申請した機器（以下「申請機器」
という。
）から取り外して使用してはならない。
２
前項の規定にかかわらず，次項の規定により小型大容量記録媒体に記録した電子情報
をセンターサーバ又はその保存が認められた他の記録媒体に保存する場合において，申
請機器が備える構造などの制約により，その機器から取り外す方法しか手段がないとき
は，取り外して使用することができる。ただし，使用を終えた後，直ちに取り外した小
型大容量記録媒体を申請機器に格納又は適切な保管場所に施錠保管しなければならない。
３
職員は，情報の漏えい，滅失，き損その他の事故を防ぐため，業務を完了した後，直
ちに小型大容量記録媒体に記録した電子情報をセンターサーバ又はその保存が認められ
た他の記録媒体に記録しなければならない。
４
職員は，前項の記録を完了した後，直ちに小型大容量記録媒体に記録した電子情報を
消去しなければならない。
５
職員は，小型大容量記録媒体及び申請機器を，情報セキュリティ担当者が定めた保管
場所において施錠保管を行うなど適切に管理しなければならない。
６
情報セキュリティ担当者は，小型大容量記録媒体及び申請機器の使用及び管理につい
て，職員を指導し，及び監督しなければならない。
（補則）
第１１条この運用管理基準で別に定めることとされている事項及びこの運用管理基準の
実施に関し必要な事項は，推進統括者が定める。
附
則
この基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
71
第１号様式（第５条関係）
年
月
日
（宛先）
（高度情報化推進統括者）
情報化推進総合センター所長
（情報セキュリティ担当者）
学校，園又は課等の長
小型大容量記録媒体導入許可申請書
小型大容量記録媒体等の導入について，小型大容量記録媒体に係る運用管理基準第５条
第１項の規定により，下記のとおり導入の許可を申請します。
記
小型大容量記録媒体等の
名称，記録容量及び数量
□ ⑴ デジタルカメラで撮影した画像を記録するための小型大容
量記録媒体が，そのカメラにあらかじめ付属していないため
□ ⑵ 小型大容量記録媒体の記録容量が不足していること又はそ
の記録媒体がき損したことにより，業務に支障が生じるため
□ ⑶ デジカメ用媒体を同時に複数人が使用するため，同媒体又
はカードリーダを追加で購入する必要があるため
導入理由
□ ⑷ 業務で使用する機器が備える構造などの制約により，小型
大容量記録媒体しか使用することができず，かつ，その機器
の代替品が存在しないため
□ ⑸ その他
小型大容量記録媒体を格
納する機器の種類，名称
及び型番
小型大容量記録媒体等の
使用方法及び管理方法
備
考
（留意事項）
導入理由欄の⑶又は⑷の事由により申請する場合は，情報化推進総合センターとの事前協議が必要です。
72
第２号様式（第５条関係）
年
月
日
（情報セキュリティ担当者）
様
（高度情報化推進統括者）
情報化推進総合センター所長
小型大容量記録媒体導入通知書
年月日付けで申請のあった小型大容量記録媒体等の導入について，小型大
容量記録媒体に係る運用管理基準第５条第２項の規定により，下記のとおり通知します。
記
許可の適否
理
由
許可番号
小型大容量記録媒体等の名称，
記録容量及び数量
小型大容量記録媒体を格納する
機器の種類，名称及び型番
使用条件
（留意事項）
高度情報化推進統括者の許可を受けて購入する小型大容量記録媒体等に係る支出命令書を出納機関に
送付するときは，この通知書の写しを添付してください。
73
記入例
第１号様式（第５条関係）
平成○○年○○月○○日
（宛先）
（高度情報化推進統括者）
情報化推進総合センター所長
（情報セキュリティ担当者）
○ ○ ○ ○ 学校長
（担当 △△ 電話 xxx-xxxx）
小型大容量記録媒体導入許可申請書
小型大容量記録媒体等の導入について，小型大容量記録媒体に係る運用管理基準第５条
第１項の規定により，下記のとおり導入の許可を申請します。
記
小型大容量記録媒体等の
名称，記録容量及び数量
Panasonic SD メモリカード
512MB
1枚
□ ⑴ デジタルカメラで撮影した画像を記録するための小型大容
量記録媒体が，そのカメラにあらかじめ付属していないため
□ ⑵ 小型大容量記録媒体の記録容量が不足していること又はそ
の記録媒体がき損したことにより，業務に支障が生じるため
□ ⑶ デジカメ用媒体を同時に複数人が使用するため，同媒体又
はカードリーダを追加で購入する必要があるため
導入理由
■ ⑷ 業務で使用する機器が備える構造などの制約により，小型
大容量記録媒体しか使用することができず，かつ，その機器
の代替品が存在しないため
□ ⑸ その他
小型大容量記録媒体を格
納する機器の種類，名称
デジタルカメラ
Canon PowerShot
A○○○
及び型番
小型大容量記録媒体等の
使用方法及び管理方法
備
申請した記録媒体は，上記のデジタルカメラで撮影した画像のみを記
録します。また，小型大容量記録媒体に係る運用管理基準第１０条の
規定に基づき適切に使用及び管理します。
考
74
１４周辺機器の増設に関する運用基準
（趣旨）
第１条
京都市教育委員会高度情報化推進のための情報システムの適正な利用等に関する
規程に基づき，周辺機器を増設する場合の条件及び手続き等を定めるものとする。
（使用の禁止）
第２条
職員は，業務を遂行するに当たり，個人が所有する周辺機器を所属のパソコン及
びネットワークに接続してはならない。
（許可不要の機器）
第３条
ネットワークを利用せず直接パソコンに接続する周辺機器については，許可の申
請を行うことなく機器を増設できることとする。ただし，外部記憶装置を除く。
（増設の許可）
第４条
次の各号に掲げる周辺機器については，高度情報化推進統括者（以下「推進統括
者」という。
）の許可を受けて，周辺機器を増設し，及び増設のために公費で購入するこ
とができる。
⑴
ネットワークプリンタ，プリントサーバ，ネットワークスキャナ等のネットワーク
対応機器
⑵
ＭＯ，ＣＤ−Ｒ／Ｗ，ＤＶＤ−Ｒ／Ｗ，ＤＶＤ−ＲＡＭ，ＢＤ−Ｒ（Ｅ）等のメディ
アを利用するための外部記憶装置
⑶
外付型ハードディスク。ただし，マイクロドライブ等の小型ハードディスク又はネッ
トワーク接続可能なハードディスクを除く。
（増設の申請）
第５条
情報セキュリティ担当者は，前条に掲げる周辺機器を増設し，及び増設のために
購入しようとするときは，前条各号に対応する許可申請書により，推進統括者に申請し
なければならない。
教育イントラネット接続申請書（事務系又は学習系・学習指導系）
⑵
外部記憶装置増設許可申請書
⑶
外付型ハードディスク導入許可申請書
２
⑴
推進統括者は，前項に規定する申請書を受理したときは，許可の適否を判断し，情報
セキュリティ担当者に通知しなければならない。
（外付型ハードディスクの使用及び管理）
第６条
許可された外付型ハードディスクを事務系ネットワークに接続されたパソコン
（以下「事務系パソコン」という。
）に接続し，個人情報等の重要情報を含むファイルを
75
保存する場合は，事務系パソコン以外では使用できないよう当該ハードディスクのドラ
イブを必ず暗号化しなければならない。
２
外付型ハードディスクの使用を終えた後は，直ちに適切な保管場所に施錠保管しなけ
ればならない。
３
ウイルス感染を防止するため，導入した外付型ハードディスクについては，定期的に
ウイルス検査を行わなければならない。
４
情報セキュリティ担当者は，外付型ハードディスクの使用及び管理について，職員を
指導し，及び監督しなければならない。
（申請機器の廃止）
第７条
増設を許可された周辺機器の使用を取りやめる場合には，第４条各号に対応する
廃止報告書により，推進統括者に報告しなければならない。
⑴
教育イントラネット接続廃止報告書（事務系又は学習系・学習指導系）
⑵
外部記憶装置廃止報告書
⑶
外付型ハードディスク廃止報告書
附
則
この運用基準は，決定の日から実施する。
（平成２３年１１月１４日決定）
76