○養父市教育情報セキュリティ対策基準
令和4年3月29日
教育委員会訓令第4号
目次
第1章 総則(第1条・第2条)
第2章 組織体制(第3条―第14条)
第3章 情報資産の分類と管理方法(第15条―第25条)
第4章 物理的セキュリティ対策
第1節 サーバ等の管理(第26条―第31条)
第2節 管理区域(サーバ室等)の管理(第32条―第34条)
第3節 教育ネットワークにおける通信回線及び通信回線装置の管理(第35条)
第4節 教職員等の利用する端末や電磁的記録媒体等の管理(第36条・第37条)
第5章 人的セキュリティ対策
第1節 教職員等の遵守事項(第38条―第41条)
第2節 研修・訓練(第42条―第45条)
第3節 情報セキュリティインシデントの報告(第46条―第48条)
第4節 ID及びパスワード等の管理(第49条・第50条)
第6章 技術的セキュリティ対策
第1節 コンピュータ及びネットワークの管理(第51条―第71条)
第2節 アクセス制御(第72条―第77条)
第3節 システム開発、導入、保守等(第78条―第85条)
第4節 不正プログラム対策(第86条―第89条)
第5節 不正アクセス対策(第90条―第96条)
第6節 電磁的記録媒体等の取扱い及び管理(第97条―第102条)
第7節 セキュリティ情報の収集(第103条―第105条)
第7章 運用
第1節 情報システムの監視(第106条)
第2節 教育情報セキュリティポリシーの遵守状況の確認(第107条―第109条)
第3節 侵害時の対応等(第110条―第113条)
第4節 例外措置(第114条―第116条)
第5節 法令遵守(第117条)
第6節 懲戒処分等(第118条・第119条)
第8章 外部サービスの利用(第120条―第122条)
第9章 クラウドサービスの利用
第1節 クラウドサービスの利用における情報セキュリティ対策(第123条―第134条)
第2節 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項(第135条―第144条)
第3節 約款による外部サービスの利用(第145条・第146条)
第4節 ソーシャルメディアサービスの利用(第147条)
第10章 事業者に対して確認すべきプライバシー保護に関する事項(第148条)
第11章 クラウドサービス活用における個人情報(第149条)
第12章 1人1台端末におけるセキュリティ
第1節 学習者用端末のセキュリティ対策(第150条―第156条)
第2節 児童生徒におけるID及びパスワード等の管理(第157条・第158条)
第13章 評価・見直し
第1節 監査(第159条―第166条)
第2節 自己点検(第167条―第169条)
第3節 教育情報セキュリティポリシー及び関係規程等の見直し(第170条)
第14章 その他(第171条)
附則
第1章 総則
(目的)
第1条 養父市教育情報セキュリティ対策基準(以下「対策基準」という。)は、養父市情報セキュリティ基本方針(以下「基本方針」という。)に基づき、情報セキュリティ対策を実施するために必要となる統一的な基準を定めることにより、教育委員会の情報資産を適切に保護することを目的とする。
(対象範囲及び用語説明)
第2条 対策基準が適用される行政機関等は、教育委員会(教育総務課、学校教育課)及び学校(小学校、中学校及び義務教育学校をいう。以下同じ。)とする。
(1) 教育ネットワーク、教育情報システムその他これらに関する設備及び電磁的記録媒体
(2) 教育ネットワーク及び教育情報システムで取り扱う情報(これらを印刷した文書を含む。)
(3) 教育情報システムの仕様書、ネットワーク図等のシステム関連文書
(1) 校務系情報 児童生徒の成績、出欠席及びその理由、健康診断結果、指導要録、教員の個人情報等、学校が保有する情報資産のうち、それら情報を学校・学級の管理運営、学習指導、生徒指導、生活指導等に活用することを想定しており、かつ、当該情報に児童生徒がアクセスすることが想定されていない情報
(2) 学習系情報 児童生徒のワークシート、作品等、学校が保有する情報資産のうち、それら情報を学校における教育活動において活用することを想定しており、かつ、当該情報に教員及び児童生徒がアクセスすることが想定されている情報
(3) 校務用端末 校務系情報にアクセス可能な端末
(4) 学習者用端末 学習系情報にアクセス可能な端末で、児童生徒が利用する端末
(5) 指導者用端末 学習系情報にアクセス可能な端末で、教員のみが利用可能な端末
(6) 校務系システム 校務系ネットワーク、校務系サーバ及び校務用端末から構成される校務系情報を取り扱うシステム並びに校務系情報を扱う上で適切なアクセス権が設定された領域で利用されるシステム
(7) 学習系システム 学習系ネットワーク、学習系サーバ、学習者用端末及び指導者用端末から構成される学習系情報を取り扱うシステム並びに学習系情報を扱う上で、適切なアクセス権が設定された領域で利用されるシステム
(8) 教育情報システム 校務系システム及び学習系システムを合わせた総称
(9) 校務系サーバ 校務系情報を取り扱うサーバ
(10) 学習系サーバ 学習系情報を取り扱うサーバ
(11) 情報セキュリティインシデント 情報セキュリティ及び業務の遂行を脅かす、又はその可能性のある事象
(12) 教職員等 教職員、非常勤教職員及び臨時教職員並びに教育ネットワーク及び教育情報システムを利用する教育委員会の職員
(13) CSIRT 組織内の情報セキュリティ問題を専門に扱う、情報セキュリティインシデント対応チーム
第2章 組織体制
(最高情報セキュリティ責任者)
第3条 教育委員会に最高情報セキュリティ責任者(CISO: Chief Information Security Officer、以下「CISO」という。)を置く。
2 養父市情報セキュリティ対策基準に基づき、副市長を、CISOとする。CISOは、本市における全ての教育ネットワーク、教育情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
3 CISOは、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家を最高情報セキュリティアドバイザーとして置き、その業務内容を定めるものとする。
(統括教育情報セキュリティ責任者)
第4条 教育委員会に統括教育情報セキュリティ責任者を置く。
2 教育長を、CISO直属の統括教育情報セキュリティ責任者とする。統括教育情報セキュリティ責任者はCISOを補佐しなければならない。
3 統括教育情報セキュリティ責任者は、教育委員会の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、CISOの指示に従い、CISOが不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。
4 統括教育情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、CISO、統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者、学校情報セキュリティ管理者、教育情報システム管理者、教育情報セキュリティ担当者、学校情報セキュリティ担当者及び教育情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。
5 統括教育情報セキュリティ責任者は、緊急時にはCISOに早急に報告を行うとともに、回復のための対策を講じなければならない。
(教育情報セキュリティ責任者)
第5条 教育委員会に教育情報セキュリティ責任者を置く。
2 教育部の部長級を、教育情報セキュリティ責任者とする。
3 教育情報セキュリティ責任者は、教育委員会の教育情報セキュリティ対策に関する統括的な権限及び責任を有する。
4 教育情報セキュリティ責任者は、教育委員会において所有している教育情報システムにおける開発、設定の変更、運用、見直し等を行う際の情報セキュリティに関する統括的な権限及び責任を有する。
5 教育情報セキュリティ責任者は、教育委員会の全ての教育ネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
6 教育情報セキュリティ責任者は、教育委員会の全ての教育ネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。
7 教育情報セキュリティ責任者は、教育委員会の共通的な教育ネットワーク、教育情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。
8 教育情報セキュリティ責任者は、教育情報セキュリティ管理者、学校情報セキュリティ管理者、教育情報システム管理者、教育情報セキュリティ担当者、学校情報セキュリティ担当者及び教育情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。
9 教育情報セキュリティ責任者は、教育委員会において所有している教育情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び教職員等に対する教育、訓練、助言及び指示を行う。
(教育情報セキュリティ管理者)
第6条 教育委員会に教育情報セキュリティ管理者を置く。
2 学校教育課長及び教育総務課長を、教育情報セキュリティ管理者とする。
3 教育情報セキュリティ管理者はその所管する課等の情報セキュリティ対策に関する権限及び責任を有する。
4 教育情報セキュリティ管理者は、その所掌する課等において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、教育情報セキュリティ責任者、統括教育情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。
(学校情報セキュリティ管理者)
第7条 教育委員会に学校情報セキュリティ管理者を置く。
2 校長を、学校情報セキュリティ管理者とする。
3 学校情報セキュリティ管理者は当該学校の情報セキュリティ対策に関する権限及び責任を有する。
4 学校情報セキュリティ管理者は、当該学校において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、教育情報セキュリティ管理者、教育情報セキュリティ責任者、統括教育情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。
(教育情報システム管理者)
第8条 教育委員会に教育情報システム管理者を置く。
2 教育委員会の情報システム担当課の課室長を、教育情報システムに関する教育情報システム管理者とする。
3 教育情報システム管理者は、所管する教育情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
4 教育情報システム管理者は、所管する教育情報システムにおける情報セキュリティに関する権限及び責任を有する。
5 教育情報システム管理者は、所管する教育情報システムに係る情報セキュリティ実施手順の維持・管理を行う。
(教育情報セキュリティ担当者)
第9条 教育委員会に教育情報セキュリティ担当者を置く。
2 教育総務課の担当職員を、教育情報セキュリティ担当者とする。
3 教育情報セキュリティ担当者は、教育情報セキュリティ管理者の指示等に従い、教育委員会の情報セキュリティ対策を行う。
(学校情報セキュリティ担当者)
第10条 教育委員会に学校情報セキュリティ担当者を置く。
2 当該学校の情報担当教職員を、学校情報セキュリティ担当者とする。
3 学校情報セキュリティ担当者は、学校情報セキュリティ管理者の指示等に従い、当該学校の情報セキュリティ対策を行う。
(教育情報システム担当者)
第11条 教育委員会に教育情報システム担当者を置く。
2 教育委員会の情報システム担当課の課室職員を、教育情報システムに関する教育情報システム担当者とする。
3 教育情報システム担当者は、教育情報システム管理者の指示等に従い、教育情報システムの開発、設定の変更、運用、更新等の作業を行う。
(ICT整備検討会)
第12条 本市の情報セキュリティ対策を統一的に行うため、CISO、統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者、学校情報セキュリティ管理者及びCISOが別途選任した者から構成されるICT整備検討会を設置し、情報セキュリティポリシー等、情報セキュリティに関する重要な事項を決定する。
(兼務の禁止)
第13条 情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。
2 監査を受ける者とその監査を実施する者は、やむを得ない場合を除き、同じ者が兼務してはならない。
(情報セキュリティに関する統一的な窓口の設置)
第14条 CISOは、情報セキュリティインシデントの統一的な窓口の機能を有する組織を整備し、情報セキュリティインシデントについて部局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備する。
2 CISOによる情報セキュリティ戦略の意思決定が行われた際には、その内容を関係部局等に提供する。
3 教育情報セキュリティ責任者又は教育情報セキュリティ管理者は、情報セキュリティインシデントを認知した場合には、市で設置されたCSIRTと連携し対応する。
4 情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知・公表対応を行う。
5 情報セキュリティに関して、関係機関や他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、外部の事業者等との情報共有を行う。
第3章 情報資産の分類と管理方法
(情報資産の分類)
第15条 教育委員会における情報資産は、機密性、完全性及び可用性により、次のとおり分類し、必要に応じた取扱制限を行わなければならない。なお、巻末の別表に学校における情報資産の分類について例示する。
機密性による情報資産の分類
分類 | 分類基準 | 該当する情報資産のイメージ |
機密性3 | 学校で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産 | 特定の教職員のみが知り得る状態を確保する必要のある情報で秘密文書に相当するもの |
機密性2B | 学校で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産 | 教職員のみが知り得る状態を確保する必要がある情報資産(教職員のうち特定の教職員のみが知り得る状態を確保する必要があるものを含む。) |
機密性2A | 学校で取り扱う情報資産のうち、直ちに一般に公表することを前提としていないが、児童生徒がアクセスすることを想定している情報資産 | 教職員及び児童生徒同士のみが知り得る状態を確保する必要がある情報資産(教職員及び児童生徒のうち特定の教職員及び児童生徒のみが知り得る状態を確保する必要があるものを含む。) |
機密性1 | 機密性2A、機密性2B又は機密性3の情報資産以外の情報資産 | 公表されている情報資産又は公表することを前提として作成された情報資産(教職員及び児童生徒以外の者が知り得ても支障がないと認められるものを含む。) |
完全性による情報資産の分類
分類 | 分類基準 | 該当する情報資産のイメージ |
完全性2B | 学校で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、学校関係者の権利が侵害される又は学校事務及び教育活動の的確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | 情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に支障ある情報 |
完全性2A | 学校で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、学校関係者の権利が侵害される又は学校事務及び教育活動の的確な遂行に軽微な支障を及ぼすおそれがある情報資産 | 情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に軽微な支障ある情報 |
完全性1 | 完全性2A又は完全性2Bの情報資産以外の情報資産 | 事故があった場合でも業務の遂行に支障がない情報 |
可用性による情報資産の分類
分類 | 分類基準 | 該当する情報資産のイメージ |
可用性2B | 学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | 必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に支障がある情報 |
可用性2A | 学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害される又は学校事務及び教育活動の安定的な遂行に軽微な支障を及ぼすおそれがある情報資産 | 必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に軽微な支障がある情報 |
可用性1 | 可用性2A又は可用性2Bの情報資産以外の情報資産 | 滅失、紛失や情報システムの停止等があっても業務の遂行に支障がない情報 |
(情報資産の管理)
第16条 教育情報セキュリティ管理者及び学校情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。
2 情報資産が複製又は伝送された場合には、複製等された情報資産も前条の分類に基づき管理しなければならない。
(情報資産の分類の表示)
第17条 教職員等は、情報資産について、必要に応じてその分類を表示し、取扱制限についても明示する等適切な管理を行わなければならない。
(情報の作成)
第18条 教職員等は、業務上必要のない情報を作成してはならない。
2 情報を作成する者は、情報の作成時に第15条の分類に基づき、当該情報の分類と取扱制限を定めなければならない。
3 情報を作成する者は、作成途上の情報についても、紛失や流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。
(情報資産の入手)
第19条 学校内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。
2 学校外の者が作成した情報資産を入手した者は、第15条の分類に基づき、当該情報の分類と取扱制限を定めなければならない。
3 情報資産を入手した者は、その情報資産の分類が不明な場合、学校情報セキュリティ管理者又は教育情報セキュリティ管理者に判断を仰がなければならない。
(情報資産の利用)
第20条 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。
2 情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。
3 情報資産を利用する者は、電磁的記録媒体又は保存されている領域(フォルダやサーバ)に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体又は保存されている領域を取り扱わなければならない。
(情報資産の保管)
第21条 学校情報セキュリティ管理者又は教育情報システム管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。
2 学校情報セキュリティ管理者又は教育情報システム管理者は、情報資産を記録した電磁的記録媒体を保管する場合は、書込禁止の措置を講じなければならない。
3 学校情報セキュリティ管理者又は教育情報システム管理者は、電磁的記録媒体や情報システムのバックアップで取得したデータを記録する電磁的記録媒体を保管する場合は、必要に応じて自然災害を被る可能性が低い地域に保管しなければならない。なお、クラウドサービスを利用する場合はサービスの機能として自然災害対策がなされていることを確認すること。
4 学校情報セキュリティ管理者又は教育情報システム管理者は、重要性分類Ⅲ以上(機密性2A以上、完全性2A以上又は可用性2A以上)の情報を記録した電磁的記録媒体を保管する場合、耐火、耐震、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管するよう努めなければならない。
(情報の送信)
第22条 情報資産が組織内部(組織が利用するサーバやクラウドサービス等)から組織外部(家庭や地域、事業者等)に電子メール等により外部送信される場合は、情報資産分類に応じ次の各号のとおり実施しなければならない。
(1) 電子メール等により重要性分類Ⅲ以上(機密性2A以上)の情報を外部送信する者は、限定されたアクセスの措置設定(暗号化又はパスワード設定等)を行わなければならない。
(2) 学校情報セキュリティ管理者及び教育情報システム管理者は、電子メール等による外部送信の安全性を高めるため、添付される情報資産を監視する等、出口対策を実施しなければならない。
(情報資産の運搬)
第23条 車両等により重要性分類Ⅲ以上(機密性2A以上)の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。
2 重要性分類Ⅲ以上(機密性2A以上)の情報資産を運搬する者は、学校情報セキュリティ管理者に許可を得なければならない。
(情報資産の提供・公表)
第24条 重要性分類Ⅲ以上(機密性2A以上)の情報資産を外部に提供する者は、限定されたアクセスの措置設定(アクセス制限や暗号化、パスワード設定等)を行わなければならない。
2 重要性分類Ⅲ以上(機密性2A以上)の情報資産を外部に提供する者は、学校情報セキュリティ管理者に許可を得なければならない。
3 学校情報セキュリティ管理者及び教育情報システム管理者は、保護者等に公開する情報資産について、完全性を確保しなければならない。
(情報資産の廃棄)
第25条 重要性分類Ⅲ以上(機密性2A以上)の情報資産を廃棄する者は、情報を記録している電磁的記録媒体が不要になった場合、電磁的記録媒体の初期化等、情報を復元できないように処置した上で廃棄しなければならない。
2 情報資産の廃棄を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。
3 情報資産の廃棄を行う者は、学校情報セキュリティ管理者又は教育情報セキュリティ管理者の許可を得なければならない。
第4章 物理的セキュリティ対策
第1節 サーバ等の管理
(機器の取付け)
第26条 教育情報システム管理者は、サーバ等の機器の取付けを行う場合、地震、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。
(機器の電源)
第27条 教育情報システム管理者は、教育情報セキュリティ責任者及び施設管理部門と連携し、校務系サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
2 教育情報システム管理者は、教育情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。
(通信ケーブル等の配線)
第28条 教育情報セキュリティ責任者及び教育情報システム管理者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。
3 教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適切に管理しなければならない。
4 教育情報セキュリティ責任者及び教育情報システム管理者は、自ら又は教育情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更又は追加できないように必要な措置を施さなければならない。
(機器の定期保守及び修理)
第29条 教育情報システム管理者は、重要性分類Ⅲ以上(可用性2A以上)のサーバ等の機器の定期保守を実施しなければならない。
2 教育情報システム管理者は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合、内容を消去した状態で行わせなければならない。内容を消去できない場合、教育情報システム管理者は、外部の事業者に故障を修理させるに当たり、修理を委託する事業者との間で、守秘義務契約を締結するとともに秘密保持体制の確認等を行わなければならない。
(施設外又は学校外への機器の設置)
第30条 教育情報セキュリティ責任者及び教育情報システム管理者は、施設外又は学校外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、学校に設置しているサーバ等の情報システムを、教育委員会等のサーバ室又はクラウドシステムに移行するよう努めなければならない。
(機器の破棄等)
第31条 教育情報システム管理者は、機器を廃棄又はリース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
第2節 管理区域(サーバ室等)の管理
(管理区域の構造等)
第32条 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理及び運用を行うための部屋(以下「サーバ室」という。)並びに電磁的記録媒体の保管庫をいう。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、管理区域を地階又は1階に設けてはならない。また、外部からの侵入が容易にできないように無窓の外壁にするよう努めなければならない。
3 教育情報セキュリティ責任者及び教育情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止するよう努めなければならない。
4 教育情報セキュリティ責任者及び教育情報システム管理者は、サーバ室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講ずるよう努めなければならない。
5 教育情報セキュリティ責任者及び教育情報システム管理者は、施設管理部門と連携して、管理区域を囲む外壁等の床下開口部を全て塞ぐよう努めなければならない。
6 教育情報セキュリティ責任者及び教育情報システム管理者は、管理区域に配置する消火薬剤や消防用設備等が機器等及び電磁的記録媒体に影響を与えないようにしなければならない。
(管理区域の入退室管理等)
第33条 教育情報システム管理者は、施設管理部門と連携して、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証や入退室管理簿の記載による入退室管理を行わなければならない。
2 教育情報システム管理者は、市の職員及び外部委託事業者に管理区域への入室を許可する場合、これらの者に身分証明書等を携帯させ、必要に応じ、その提示を求めなければならない。
3 教育情報システム管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立ち入り区域を制限した上で、管理区域への入退室を許可された市の職員が付き添うものとし、外見上市の職員と区別できる措置を講じなければならない。
4 教育情報システム管理者は、重要性分類Ⅱ以上(機密性2B以上)の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませる場合は、許可を求めるよう指示しなければならない。
(機器等の搬入出)
第34条 教育情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ市の職員又は委託した業者に確認を行わせなければならない。
2 教育情報システム管理者は、サーバ室の機器等の搬入出について、市の職員を立ち会わせなければならない。
第3節 教育ネットワークにおける通信回線及び通信回線装置の管理
(教育ネットワークにおける通信回線及び通信回線装置の管理)
第35条 教育情報セキュリティ責任者は、施設内の教育ネットワークにおける通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理しなければならない。また、教育ネットワークにおける通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。なお、教育ネットワークを構成する一部の庁舎間回線やネットワーク機器は情報課が管理する設備のため、教育情報セキュリティ責任者は関連する部門と連携し、これらの設備を運用する。
2 教育情報セキュリティ責任者は、外部へのネットワーク接続ポイント及び該当ポイントに接続される端末を正確に把握し、適切な管理を行わなければならない。
3 教育情報セキュリティ責任者は、重要性分類Ⅲ以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、通信経路上での暗号化を行わなければならない。
4 教育情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。
5 教育情報セキュリティ責任者は、重要性分類Ⅱ以上の情報資産を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。
第4節 教職員等の利用する端末や電磁的記録媒体等の管理
(教職員等の利用する端末や電磁的記録媒体等の管理)
第36条 教育情報システム管理者は、不正アクセス防止のため、ログイン時のIDパスワードによる認証等、使用する目的に応じた適切な物理的措置を講じなければならない。電磁的記録媒体については、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。
2 教育情報システム管理者は、校務用サーバ、タブレットやパソコン等教育情報システムへアクセスする端末へのログインパスワードの入力を必要とするように設定しなければならない。
(学習者用端末の管理)
第37条 教育情報システム管理者は、盗難防止のため、教室等で利用するパソコンの保管庫による管理等の物理的措置を講じなければならない。
2 教育情報システム管理者は、電磁的記録媒体について、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。
3 教育情報システム管理者は、情報システムへのアクセスにおけるログインパスワードの入力等による認証を設定しなければならない。
第5章 人的セキュリティ対策
第1節 教職員等の遵守事項
(教職員等の遵守事項)
第38条 教職員等は、教育情報セキュリティポリシー及び実施手順を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに学校情報セキュリティ管理者に相談し、指示を仰がなければならない。
2 教職員等は、業務以外の目的で情報資産の外部への持ち出し、教育情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
3 モバイル端末や電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限に関し、次の各号に掲げる事項を遵守しなければならない。
(1) CISOは、重要性分類Ⅱ以上の情報資産を外部で処理する場合における安全管理措置を定めなければならない。
(2) 教職員等は、学校のモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、学校情報セキュリティ管理者又は教育情報セキュリティ管理者の許可を得なければならない。
(3) 教職員等は、外部で情報処理業務を行う場合には、学校情報セキュリティ管理者の許可を得なければならない。
4 支給以外のパソコン、モバイル端末及び電磁的記録媒体等の業務利用に関し、次の各号に掲げる事項を遵守しなければならない。
(1) 教職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、学校情報セキュリティ管理者の許可を得て利用することができる。
(2) 教職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を用いる場合には、学校情報セキュリティ管理者の許可を得た上で、外部で情報処理作業を行う際に安全管理措置を遵守しなければならない。
5 学校情報セキュリティ管理者は、端末等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。
6 教職員等は、パソコンやモバイル端末のソフトウェアに関するセキュリティ機能の設定を学校情報セキュリティ管理者の許可なく変更してはならない。
7 教職員等は、パソコン、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は学校情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時のパソコン、モバイル端末のロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。
8 教職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。
(非常勤及び臨時の教職員への対応)
第39条 学校情報セキュリティ管理者は、非常勤及び臨時の教職員に対し、採用時に教育情報セキュリティポリシー等のうち、非常勤及び臨時の教職員が守るべき内容を理解させ、実施させ、及び遵守させなければならない。
2 学校情報セキュリティ管理者は、非常勤及び臨時の教職員の採用の際、必要に応じ、教育情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。
3 学校情報セキュリティ管理者は、非常勤及び臨時の教職員にパソコンやモバイル端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。
(情報セキュリティポリシー等の掲示)
第40条 学校情報セキュリティ管理者は、教職員等が常に教育情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。
(外部委託事業者に対する説明)
第41条 教育情報システム管理者は、ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち、外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。
第2節 研修・訓練
(情報セキュリティに関する研修・訓練)
第42条 CISOは、定期的に情報セキュリティに関する研修・訓練を実施しなければならない。
(研修計画の策定及び実施)
第43条 CISOは、教職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行い、ICT整備検討委員会の承認を得なければならない。
2 新規採用の教職員等を対象とする情報セキュリティに関する研修を実施しなければならない。
3 研修は、統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者、学校情報セキュリティ管理者、教育情報システム管理者、教育情報セキュリティ担当者、学校情報セキュリティ担当者、教育情報システム担当者及その他教職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。
4 CISOは、毎年度1回、ICT整備検討委員会に対して、教職員等の情報セキュリティ研修の実施状況について報告しなければならない。
(緊急時対応訓練)
第44条 CISOは、緊急時対応を想定した訓練を必要に応じて実施しなければならない。訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、及び効果的に実施できるようにしなければならない。
(研修及び訓練への参加)
第45条 全ての教職員等は、定められた研修及び訓練に参加しなければならない。
第3節 情報セキュリティインシデントの報告
(学校内からの情報セキュリティインシデントの報告)
第46条 教職員等は、情報セキュリティインシデントを認知した場合、速やかに学校情報セキュリティ管理者に報告しなければならない。
2 報告を受けた学校情報セキュリティ管理者は、速やかに教育情報セキュリティ責任者、教育情報セキュリティ管理者、教育情報システム管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。
3 学校情報セキュリティ管理者は、報告のあった情報セキュリティインシデントについて、必要に応じてCISO及び統括教育情報セキュリティ責任者に報告しなければならない。
(住民等外部からの情報セキュリティインシデントの報告)
第47条 教職員等は、管理対象のネットワーク及び教育情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合、学校情報セキュリティ管理者に報告しなければならない。
2 報告を受けた学校情報セキュリティ管理者は、速やかに教育情報セキュリティ責任者、教育情報セキュリティ管理者及び教育情報システム管理者に報告しなければならない。
3 学校情報セキュリティ管理者は、当該情報セキュリティインシデントについて、必要に応じてCISO及び統括教育情報セキュリティ責任者に報告しなければならない。
4 CISOは、教育情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。
(情報セキュリティインシデント原因の究明、記録、再発防止等)
第48条 統括教育情報セキュリティ責任者は、情報セキュリティインシデントについて、教育情報セキュリティ責任者、教育情報セキュリティ管理者、学校情報セキュリティ管理者、教育情報システム管理者及び情報セキュリティに関する統一的な窓口と連携し、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。また、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。
2 CISOは、統括教育情報セキュリティ責任者から、情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
第4節 ID及びパスワード等の管理
(IDの取扱い)
第49条 教職員等は、自己の管理するIDに関し、次の各号に掲げる事項を遵守しなければならない。
(1) 自己が利用しているIDは、他人に利用させてはならない。
(2) 共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。
(パスワードの取扱い)
第50条 教職員等は、自己の管理するパスワードに関し、次の各号に掲げる事項を遵守しなければならない。
(1) パスワードは、他者に知られないように管理しなければならない。
(2) パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
(3) パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。
(4) パスワードが流出したおそれがある場合には、学校情報セキュリティ管理者に速やかに報告し、パスワードを速やかに変更しなければならない。
(5) 複数の教育情報システムを扱う教職員等は、同一のパスワードを複数のシステム間で用いてはならない。(シングルサインオンを除く。)
(6) 仮のパスワード(初期パスワードを含む。)は、最初のログイン時点で変更しなければならない。
(7) サーバ、ネットワーク機器及びパソコン等の端末にパスワードを記憶させてはならない。
(8) 教職員等間でパスワードを共有してはならない。(ただし、共有IDに対するパスワードは除く。)
(9) 共有IDに対するパスワードは定期的に又はアクセス回数に基づいて変更しなければならない。
第6章 技術的セキュリティ対策
第1節 コンピュータ及びネットワークの管理
(文書サーバ及び端末の設定等)
第51条 教育情報システム管理者は、教職員等が使用できる文書サーバの容量を設定し、教職員等に周知しなければならない。
2 教育情報システム管理者は、文書サーバを学校等の単位で構成し、教職員等が他の学校等のフォルダ及びファイルを閲覧及び使用できないように設定しなければならない。
3 教育情報システム管理者は、住民の個人情報、人事記録等、特定の教職員等しか取り扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一学校等であっても、担当職員以外の教職員等が閲覧及び使用できないようにしなければならない。
4 教育情報システム管理者は、インターネット接続を前提とする学習系サーバに保管する情報(個人情報などを含む重要性が高い情報を保管する場合に限る。)については、標的型攻撃等によるファイルの外部流出の可能性を考慮し、必要に応じてファイル暗号化等による安全管理措置を講じなければならない。
(バックアップの実施)
第52条 教育情報セキュリティ責任者及び教育情報システム管理者は、ファイルサーバ等に記録された情報について、次の各号に基づきバックアップを実施するものとする。
(1) 校務系情報については、必要に応じて定期的にバックアップを実施しなければならない。
(2) 学習系情報については、必要に応じて定期的にバックアップを実施しなければならない。
(他団体との情報システムに関する情報等の交換)
第53条 教育情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、教育情報セキュリティ責任者の許可を得なければならない。
(システム管理記録及び作業の確認)
第54条 教育情報システム管理者は、所管する教育情報システムの運用において実施した作業について、作業記録を作成しなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適切に管理しなければならない。
3 教育情報セキュリティ責任者、教育情報システム管理者又は教育情報システム担当者及び契約により操作を認められた外部委託事業者がシステム変更等の作業を行う場合は、必要に応じて2人以上で作業し、互いにその作業を確認しなければならない。
(情報システム仕様書等の管理)
第55条 教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワーク構成図、情報システム仕様書等について、記録媒体にかかわらず、業務上必要とする者以外の者が閲覧し、又は紛失等がないよう、適切に管理しなければならない。
(ログの取得等)
第56条 教育情報セキュリティ責任者及び教育情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適切にログを管理しなければならない。
3 教育情報セキュリティ責任者及び教育情報システム管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。
(障害記録)
第57条 教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。
(ネットワークの接続制御、経路制御等)
第58条 教育情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。
2 教育情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。
(外部の者が利用できるシステムの分離等)
第59条 教育情報システム管理者は、保護者等の外部の者が利用できるシステム等がある場合、重要性が高い情報、特に情報資産重要性分類Ⅱ(セキュリティ侵害が学校事務及び教育活動の実施に重大な影響を及ぼす情報資産)以上を扱うシステムとの論理的又は物理的な分離若しくは各システムにおけるアクセス権の管理を徹底しなければならない。
(外部ネットワークとの接続制限等)
第60条 教育情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、CISO及び教育情報セキュリティ責任者の許可を得なければならない。
2 教育情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内及び学校の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。
3 教育情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん、システムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
4 教育情報セキュリティ責任者及び教育情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、教育ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。
5 教育情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、教育情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(重要性が高い情報に対するインターネットを介した外部からのリスク、児童生徒による重要性が高い情報へのアクセスリスクへの対応)
第61条 教育情報システム管理者は、校務系システム及び学習系システム間の通信経路の論理的又は物理的な分離をする措置を講じなければならない。
2 教育情報システム管理者は、校務系システムと学習系システムとの間で通信する場合には、各システムにおけるアクセス権管理の徹底を行う、ウイルス感染のない無害化通信など、適切な措置を図らなければならない。
(複合機のセキュリティ管理)
第62条 教育情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。
2 教育情報セキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより 運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。
3 教育情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。
(特定用途機器のセキュリティ管理)
第63条 教育情報セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。
(無線LAN及びネットワークの盗聴対策)
第64条 教育情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。
2 教育情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。
(電子メールのセキュリティ管理)
第65条 教育情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。
2 教育情報セキュリティ責任者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止しなければならない。
3 教育情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。
4 教育情報セキュリティ責任者は、教職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を教職員等に周知しなければならない。
(電子メールの利用制限)
第66条 教職員等は、自動転送機能を用いて、電子メールを転送してはならない。
2 教職員等は、業務上必要のない送信先に電子メールを送信してはならない。
3 教職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようBCC機能を活用しなければならない。
4 教職員等は、重要な電子メールを誤送信した場合、学校情報セキュリティ管理者に報告しなければならない。
5 教職員等は、ウェブで利用できるフリーメールサービス等を教育情報セキュリティ責任者の許可無しに使用してはならない。
(電子署名・暗号化)
第67条 教職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、CISOが定めた電子署名、暗号化、パスワード設定等、セキュリティを考慮して、送信しなければならない。
2 教職員等は、暗号化を行う場合にCISOが定める以外の方法を用いてはならない。また、CISOが定めた方法で暗号のための鍵を管理しなければならない。
3 CISOは、電子署名の正当性を検証するための情報又は手段を署名検証者へ安全に提供しなければならない。
(無許可ソフトウェアの導入等の禁止)
第68条 教職員等は、パソコン及びモバイル端末に無断でソフトウェアを導入してはならない。
2 教職員等は、業務上の必要がある場合は、教育情報セキュリティ責任者及び教育情報システム管理者の許可を得て、ソフトウェアを導入することができる。なお、導入する際は、学校情報セキュリティ管理者又は教育情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。
3 教職員等は、不正にコピーしたソフトウェアを利用してはならない。
(機器構成の変更の制限)
第69条 教職員等は、パソコン及びモバイル端末に対し、機器の改造、増設及び交換を行ってはならない。
2 教職員等は、業務上、パソコン及びモバイル端末に対し、機器の改造、増設及び交換を行う必要がある場合には、教育情報セキュリティ責任者及び教育情報システム管理者の許可を得なければならない。
(無許可でのネットワーク接続の禁止)
第70条 教職員等は、教育情報セキュリティ責任者の許可なくパソコンやモバイル端末をネットワークに接続してはならない。
(業務以外の目的でのウェブ閲覧の禁止)
第71条 教職員等は、業務以外の目的でウェブを閲覧してはならない。
2 教育情報セキュリティ責任者は、教職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、学校情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
第2節 アクセス制御
(アクセス制限等)
第72条 教育情報セキュリティ責任者及び教育情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない教職員等がアクセスできないように、システム上制限しなければならない。
(利用者IDの取扱い)
第73条 教育情報セキュリティ責任者及び教育情報システム管理者は、利用者の登録、変更、抹消等の情報管理、教職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。
2 教職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、教育情報セキュリティ責任者又は教育情報システム管理者に通知しなければならない。
3 教育情報セキュリティ責任者及び教育情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。
(特権を付与されたIDの管理等)
第74条 教育情報セキュリティ責任者及び教育情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者の特権を代行する者は、教育情報セキュリティ責任者及び教育情報システム管理者が指名し、CISOが認めた者でなければならない。
3 CISOは、代行者を認めた場合、速やかに統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者、学校情報セキュリティ管理者及び教育情報システム管理者に通知しなければならない。
4 教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。
5 教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードについて、その利用期間に合わせて特権IDを作成・削除する、又は入力回数制限を設ける等のセキュリティ機能を強化しなければならない。
6 教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。
(教職員等による外部からのアクセス等の制限)
第75条 教職員等が外部から内部のネットワーク又は情報システムにアクセスする場合は、教育情報セキュリティ責任者及び当該情報システムを管理する教育情報システム管理者の許可を得なければならない。
2 教育情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。
3 教育情報セキュリティ責任者は、外部からのシステムアクセスを認める場合、アクセスする利用者の本人確認、システムアクセスの対象となる児童生徒の本人(保護者)同意を得る等の措置を講じなければならない。
4 教育情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。
5 教育情報セキュリティ責任者及び教育情報システム管理者は、外部からのアクセスに利用するモバイル端末を教職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。
6 教職員等は、持ち込んだ又は外部から持ち帰ったモバイル端末を施設内のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認しなければならない。
7 教育情報セキュリティ責任者は、外部から教育ネットワークに接続することを許可する場合は、利用者のID及びパスワード、生体認証に係る情報等の認証情報及びこれを記録した媒体(ICカード等)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。
(パスワードに関する情報の管理)
第76条 教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等のパスワードに関する情報を厳重に管理しなければならない。パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等に対してパスワードを発行する場合は、必要に応じて仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させる等の措置を講じなければならない。
(特権による接続時間の制限)
第77条 教育情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。
第3節 システム開発、導入、保守等
(情報システムの調達)
第78条 教育情報セキュリティ責任者及び教育情報システム管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。
(情報システムの開発)
第79条 教育情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。また、システム開発のための規則を確立しなければならない。
2 教育情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。
3 教育情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。
4 教育情報システム管理者は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。
5 教育情報システム管理者は、利用を認めたソフトウェア以外のソフトウェアが導入されている場合、当該ソフトウェアをシステムから削除しなければならない。
(情報システムの導入)
第80条 教育情報システム管理者は、システム開発、保守及びテスト環境とシステム運用環境を必要に応じて分離しなければならない。
2 教育情報システム管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。
3 教育情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。
4 教育情報システム管理者は、導入するシステムやサービスの可用性が確保されていることを確認した上で導入しなければならない。
5 教育情報システム管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験を行わなければならない。
6 教育情報システム管理者は、運用テストを行う場合、必要に応じてあらかじめ擬似環境による操作確認を行わなければならない。
7 教育情報システム管理者は、個人情報及び機密性の高い生データを、テストデータに使用してはならない。
8 教育情報システム管理者は、開発したシステムについて受け入れテストを行う場合、開発した組織と導入する組織が、それぞれ独立したテストを行わなければならない。
9 教育情報システム管理者は、運用環境への移行に先立ち、システムの脆弱性テストを行い、その結果を確認しなければならない。
(システム開発及び保守に関連する資料等の整備及び保管)
第81条 教育情報システム管理者は、システム開発及び保守に関連する資料及びシステム関連文書を適切に整備し、及び保管しなければならない。
2 教育情報システム管理者は、テスト結果を一定期間保管しなければならない。
3 教育情報システム管理者は、情報システムに係るソースコード及び使用したオープンソースのバージョン(リポジトリ)を適切な方法で保管しなければならない。
(情報システムにおける入出力データの正確性の確保)
第82条 教育情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。
2 教育情報システム管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。
3 教育情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。
(情報システムの変更管理)
第83条 教育情報システム管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。
(開発及び保守用のソフトウェアの更新等)
第84条 教育情報システム管理者は、開発及び保守用のソフトウェア等を更新又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。
(システム更新又は統合時の検証等)
第85条 教育情報システム管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新・統合後の業務運営体制の検証を行わなければならない。
第4節 不正プログラム対策
(教育情報セキュリティ責任者の措置事項)
第86条 教育情報セキュリティ責任者は、不正プログラム対策として、次の各号に掲げる事項を措置しなければならない。
(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイなどにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。
(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイなどにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。
(3) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ教職員等に対して注意喚起しなければならない。
(4) 所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。
(5) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。
(6) 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。
(7) 業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用してはならない。
(教育情報システム管理者の措置事項)
第87条 教育情報システム管理者は、不正プログラム対策に関し、次の各号に掲げる事項を措置しなければならない。
(1) 教育情報システム管理者は、その所掌するサーバ及びパソコン等の端末を守るため、コンピュータウイルス等の不正プログラムへの対策を講じなければならない。
(2) 不正プログラム対策は、常に最新の状態に保たなければならない。
(3) インターネットに接続していないシステムにおいて、電磁的記録媒体を使う場合、コンピュータウイルス等の感染を防止するために、市が管理している電磁的記録媒体以外を教職員等に利用させてはならない。また、不正プログラムの感染、侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。
(教職員等の遵守事項)
第88条 教職員等は、不正プログラム対策に関し、次の各号に掲げる事項を遵守しなければならない。
(1) パソコンやモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更してはならない。
(2) 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックを行わなければならない。
(3) 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除しなければならない。
(4) 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。
(5) 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。
(6) 教育情報セキュリティ責任者が提供するウイルス情報を、常に確認しなければならない。
(7) コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、次に掲げる対応を行わなければならない。
ア パソコン等の端末の場合 LANケーブルの即時取り外しを行わなければならない。
イ モバイル端末の場合 直ちに利用を中止し、通信を行わない設定への変更を行わなければならない。
(専門家の支援体制)
第89条 教育情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。
第5節 不正アクセス対策
(教育情報セキュリティ責任者の措置事項)
第90条 教育情報セキュリティ責任者は、不正アクセス対策として、次の各号に掲げる事項を措置しなければならない。
(1) 使用されていないポート及びSSID(無線LANネットワーク名)を閉鎖
(2) 不要なサービスについて、機能を削除又は停止
(3) 不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、教育情報セキュリティ責任者及び教育情報システム管理者へ通報するよう設定
(4) 情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口、適切な対応等を実施できる体制及び連絡網の構築
(攻撃への対処)
第91条 CISO及び統括教育情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。
(記録の保存)
第92条 CISO及び統括教育情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
(内部からの攻撃)
第93条 教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。
(教職員等による不正アクセス)
第94条 教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等による不正アクセスを発見した場合は、当該教職員等が所属する学校等の学校情報セキュリティ管理者に通知し、適切な処置を求めなければならない。
(サービス不能攻撃)
第95条 教育情報セキュリティ責任者及び教育情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
(標的型攻撃)
第96条 教育情報セキュリティ責任者及び教育情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。
第6節 電磁的記録媒体等の取扱い及び管理
(記録媒体の管理)
第97条 教職員等は、記録媒体について、次の各号に掲げるとおり、適切な管理を行わなければならない。
(1) 記録媒体の特性を踏まえた管理
(2) 耐火、耐熱、耐水及び耐湿対策を講じた場所への保管
(3) 重要な情報を記録した記録媒体の施錠可能な場所への保管
(4) 記録媒体の利用及び保管時の整理整頓
(5) 最終的に確定した情報を記録した記録媒体に対する書込み禁止措置を行った上での保管
2 教育情報セキュリティ責任者は、情報の滅失防止のため、情報システムが運用する業務、保有する情報の重要度に応じて、記録媒体を更に別の記録媒体に複製し、可能な限り当該記録媒体を自然災害の被る可能性が低い場所に別途保管しなければならない。
(外部への記録媒体の持ち出し)
第98条 教職員等は、記録媒体を外部に持ち出してはならない。ただし、業務上特別の理由がある場合には、統括情報セキュリティ責任者の許可を得ることにより持ち出すことができる。
(1) 施錠可能な場所への収納の徹底
(2) 外部における放置禁止の徹底
(3) 管理簿等による持ち出し管理
3 教職員等は、外部に持ち出す記録媒体を紛失した場合、直ちに情報セキュリティに関する事案への対応に従って連絡を行わなければならない。
(記録媒体による情報の提供)
第99条 教職員等は、所有する情報を他のものに記録媒体で提供する必要がある場合、不必要な情報が含まれていないことを確認し、必要な情報のみを提供しなければならない。
(記録媒体の輸送)
第100条 教育情報セキュリティ責任者は、記録媒体の輸送を行う場合、信頼できる者を選任し、複製禁止の措置及び記録媒体の物理的保護を行わなければならない。
(記録媒体の廃棄)
第101条 教職員等は、記録媒体の廃棄に関し、次の各号に掲げる事項を実施しなければならない。
(1) 記録媒体に含まれる情報について、復元できないように対処した上で廃棄すること。
(2) 記録媒体の廃棄を行う場合、廃棄処理について、日時、作業実施者及び処理内容を記録すること。
(紙等の有体物の管理)
第102条 教職員等は、重要な情報が記載された紙等の有体物について、次の各号に掲げるとおり厳重に管理しなければならない。
(1) 施錠可能な場所に保管すること。
(2) 保管及び廃棄する場合は、数量を確認すること。
(3) 廃棄する場合は、焼却場に直接持ち込んだ上での焼却又は裁断機による裁断等を行い、内容が確認できないようにすること。
(4) 外部委託事業者に廃棄を委託する場合は、機密保持について契約書等に明記すること。
第7節 セキュリティ情報の収集
(セキュリティホールに関する情報の収集及び共有並びにソフトウェアの更新等)
第103条 教育情報セキュリティ責任者及び教育情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。
(不正プログラム等のセキュリティ情報の収集及び周知)
第104条 教育情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、教職員等に周知しなければならない。
(情報セキュリティに関する情報の収集及び共有)
第105条 教育情報セキュリティ責任者及び教育情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。
第7章 運用
第1節 情報システムの監視
(情報システムの監視)
第106条 教育情報セキュリティ責任者及び教育情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。
2 教育情報セキュリティ責任者及び教育情報システム管理者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。
3 教育情報セキュリティ責任者及び教育情報システム管理者は、重要性分類Ⅱ以上の情報資産を格納する校務系システムを常時監視しなければならない。
第2節 教育情報セキュリティポリシーの遵守状況の確認
(遵守状況の確認及び対処)
第107条 教育情報セキュリティ責任者、教育情報セキュリティ管理者及び学校情報セキュリティ管理者は、教育情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合は、速やかにCISO及び統括教育情報セキュリティ責任者に報告しなければならない。
2 CISOは、発生した問題について、適切かつ速やかに対処しなければならない。
3 教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合は、適切かつ速やかに対処しなければならない。
(パソコン、モバイル端末及び電磁的記録媒体等の利用状況調査)
第108条 CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、教職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。
(教職員等の報告義務)
第109条 教職員等は、教育情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括教育情報セキュリティ責任者及び学校情報セキュリティ管理者に報告を行わなければならない。
2 違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括教育情報セキュリティ責任者が判断した場合は、緊急時対応計画に従って適切に対処しなければならない。
第3節 侵害時の対応等
(緊急時対応計画の策定)
第110条 CISO又はICT整備検討委員会は、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適切に対処しなければならない。
(緊急時対応計画に盛り込むべき内容)
第111条 緊急時対応計画には、次の各号に掲げる内容を定めなければならない。
(1) 関係者の連絡先
(2) 発生した事案に係る報告すべき事項
(3) 発生した事案への対応措置
(4) 再発防止措置の策定
(業務継続計画との整合性確保)
第112条 自然災害、大規模又は広範囲に及ぶ疾病等に備えて別途業務継続計画を策定し、ICT整備検討委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。
(緊急時対応計画の見直し)
第113条 CISO又はICT整備検討委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。
第4節 例外措置
(例外措置の許可)
第114条 学校情報セキュリティ管理者及び教育情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、学校事務及び教育活動の適正な遂行を継続するため、遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を取ることができる。
(緊急時の例外措置)
第115条 学校情報セキュリティ管理者及び教育情報システム管理者は、学校事務及び教育活動の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。
(例外措置の申請書の管理)
第116条 CISOは、例外措置の申請書及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。
第5節 法令遵守
(法令遵守)
第117条 教職員等は、職務の遂行において使用する情報資産を保護するために、次の各号に掲げる法令のほか関係法令等を遵守し、これに従わなければならない。
(1) 地方公務員法(昭和25年法律第261号)
(2) 教育公務員特例法(昭和24年法律第1号)
(3) 著作権法(昭和45年法律第48号)
(4) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(5) 個人情報の保護に関する法律(平成15年法律第57号)
(6) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(7) サイバーセキュリティ基本法(平成26年法律第104号)
(8) 養父市個人情報保護条例(平成17年養父市条例第9号)
第6節 懲戒処分等
(人事考査委員会への報告)
第118条 教育情報セキュリティポリシーに違反した教職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
(違反時の対応)
第119条 教職員等の教育情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次の各号に掲げる措置を講じなければならない。
(1) 教育情報セキュリティ責任者が違反を確認した場合は、当該教職員等が所属する学校の学校情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
(2) 教育情報システム管理者等が違反を確認した場合は、速やかに教育情報セキュリティ責任者及び当該教職員等が所属する学校の学校情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
(3) 学校情報セキュリティ管理者の指導によっても改善されない場合、統括教育情報セキュリティ責任者は、当該教職員等の教育ネットワーク又は教育情報システムを使用する権利を停止又は剥奪することができる。その後速やかに、統括教育情報セキュリティ責任者は、教職員等の権利を停止又は剥奪した旨をCISO及び当該教職員等が所属する学校の学校情報セキュリティ管理者に通知しなければならない。
第8章 外部サービスの利用
(外部委託事業者の選定基準)
第120条 教育情報システム管理者は、外部委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
2 教育情報システム管理者は、情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして、事業者を選定することができる。
(契約項目)
第121条 情報システムの運用、保守等を外部委託する場合には、外部委託事業者との間で必要に応じて次の各号に掲げる情報セキュリティ要件を明記した契約を締結しなければならない。
(1) 教育情報セキュリティポリシー及び教育情報セキュリティ実施手順の遵守
(2) 外部委託事業者の責任者、委託内容、作業者及び作業場所の特定
(3) 提供されるサービスレベルの保証
(4) 外部委託事業者にアクセスを許可する情報の種類と範囲及びアクセス方法
(5) 外部委託事業者の従業員に対する教育の実施
(6) 提供された情報の目的外利用及び受託者以外の者への提供の禁止
(7) 業務上知り得た情報の守秘義務
(8) 再委託に関する制限事項の遵守
(9) 委託業務終了時の情報資産の返還、廃棄等
(10) 委託業務の定期報告及び緊急時報告義務
(11) 市による監査及び検査
(12) 市による情報セキュリティインシデント発生時の公表
(13) 教育情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
(確認・措置等)
第122条 教育情報システム管理者は、外部委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ、前条の契約に基づき措置しなければならない。また、その内容を教育情報セキュリティ責任者に報告するとともに、その重要度に応じてCISO及び統括教育情報セキュリティ責任者に報告しなければならない。
第9章 クラウドサービスの利用
第1節 クラウドサービスの利用における情報セキュリティ対策
(利用者認証)
第123条 クラウド利用者(教育委員会等。以下「クラウド利用者」とする。)は、クラウド事業者における当該クラウドサービスを提供する情報システムの運用若しくは開発に従事する者又は管理者権限を有する者について、適切な利用者確認がなされていることをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
2 クラウド利用者は、当該クラウドサービスのログインに関わる認証機能の提供をクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
3 クラウド利用者側管理者権限を有する者のIDの管理について、第74条を遵守しなければならない。
(アクセス制御)
第124条 クラウド利用者は、当該クラウドサービスに対して、アクセスする権限のない者がアクセスできないように、システム上制限する機能の提供をクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
2 クラウド利用者は、クラウド事業者の提供するアクセス制御機能を用いて、情報資産ごとに、許可されたエンドユーザのみがアクセスできる環境を設定しなければならない。
(クラウドに保管するデータの暗号化)
第125条 クラウド利用者は、当該クラウドサービスへのデータの保管に際し、情報漏えい等に備えて、暗号化等の保護措置を講じられていることを、クラウド事業者にサービス提供定款や契約書面上で確認又は合意しなければならない。
(マルチテナント環境におけるテナント間の安全な管理)
第126条 クラウド利用者は、複数のクラウド利用者がクラウドリソースを共用する環境において、特定のクラウド利用者に対して発生したセキュリティ侵害が、他のクラウド利用者に影響を与えないように対策が講じられていることをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
(クラウドサービスを提供する情報システムに対する外部からの悪意のある脅威の侵入を想定した技術的セキュリティ対策)
第127条 クラウド利用者は、当該クラウドサービスを提供する情報システムを監視し、セキュリティ侵害を検知することを、クラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
2 クラウド利用者は、当該クラウドサービスを提供する情報システムのインターネット接続境界において、クラウド利用者以外による不正な通信及び侵入を防ぐ措置を講じるとともに、外部脅威の侵入を検知し、防御する対策を講ずることをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
(情報の通信経路のセキュリティ確保)
第128条 クラウド利用者は、教育情報システムのインターネット境界から当該クラウドサービスを提供する情報システムまでの情報の通信経路において、情報の盗聴、改ざん及び誤った経路での通信、破壊等から保護するために必要な措置(情報交換の実施基準・手順等の整備、通信の暗号化等)をクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
2 クラウド利用者は、クラウド事業者が保守運用等を遠隔で行う場合の保守運用拠点と管理区域間での通信回線及び通信回線装置の管理について、情報の盗聴、改ざん及び誤った経路での通信、破壊等から保護するために必要な措置(情報交換の実施基準・手順等の整備、通信の暗号化等)をクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
(クラウドサービスを提供する情報システムの運用管理)
第130条 クラウド利用者は、クラウド事業者に対して、サービスの一時停止等クラウド利用者に影響があり得る運用手順の有無、有る場合にはクラウド利用者への影響範囲(時間及びサービス内容)、連絡方法等について情報提供を求め、クラウド利用者が業務運営に支障がないことを確認し、合意しなければならない。また、クラウド事業者の設定不備等によるインシデント発生時にも同様の確認をしなければならい。
2 クラウド利用者は、当該クラウドサービスにおけるデータバックアップについて、第52条に準じた対策をクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
3 クラウド利用者は、当該クラウドサービスにおける情報セキュリティの確保や監査に必要なログの取得について、第56条に準じた対策をクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
(クラウドサービスを提供する情報システムのマルウェア対策)
第131条 クラウド利用者は、クラウドサービスを提供する情報システムを構成するサーバ及び運用管理端末等について、マルウェア対策を講じることをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
2 クラウド利用者は、内部システムに侵入した攻撃を検知して対処するために、通信をチェックする等の対策を講じることをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
(クラウド利用者側のセキュリティ確保)
第132条 クラウド利用者は、クラウドサービスにアクセスする利用者側端末について、保管するデータの外部流出、改ざん等から保護するために必要な措置を講じなければならない。
2 クラウド利用者は、標的型攻撃による外部からの脅威の侵入を防止するために、エンドユーザへの教育や入口対策を講じなければならない。
(クラウド事業者従業員の人的セキュリティ対策)
第133条 クラウド利用者は、クラウドサービスに関わるクラウド事業者従業員に対して、クラウド事業者の情報セキュリティポリシー及び保守運用管理規程等を遵守することをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
2 クラウド利用者は、クラウドサービスに関わるクラウド事業者従業員に対して、業務に用いるID及びパスワードその他の個人認証に必要な情報及び媒体について、部外者及び業務に関わらない従業員に漏えいすることがないように、適切に管理することをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
3 クラウド利用者は、クラウドサービスに関わらない従業員等がクラウド利用者のデータを知り得る状態にならないよう、業務に関わるクラウド事業者従業員に対して秘匿を義務づけることをクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
4 クラウド利用者は、クラウド利用者のデータ及びデータを格納した端末機器又は電磁的記録媒体の外部持ち出しについて、クラウド利用者の許可なく外部持ち出しできないこと、及び外部持ち出しにおける安全管理手順をクラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
5 クラウド利用者は、クラウドサービスを提供する情報システムを構成するサーバ及び運用管理端末等に、マルウェアを侵入させないよう、クラウド事業者に求め、サービス提供定款や契約書面上で確認又は合意しなければならない。
(データの廃棄等について)
第134条 クラウド利用者は、サービス利用終了時等において、クラウド利用者のデータが不用意に残置されないよう、適切に破棄するための流れについてサービス提供定款や契約書面上で確認又は合意しておかなければならない。
2 クラウド利用者は、サービス利用終了時等におけるデータの扱いについて、スムーズに回収、次期システムへの移行等を行えるよう、その措置の流れについてサービス提供定款や契約書面上で確認又は合意しておかなければならない。
第2節 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項
(守秘義務、目的外利用及び第三者への提供の禁止)
第135条 クラウド利用者は、クラウド事業者と契約時に守秘義務、目的外利用及び第三者への提供の禁止条項を締結しなければならない。クラウドサービス事業者がコンテンツにアクセスできるかどうかを確認し、サービスに係る情報及び受託した情報に関する守秘義務、目的外利用及び第三者への提供の禁止条項について、サービス提供に係る契約に含めなければならない。契約には、当該条項に違反したクラウドサービス事業者に対する損害賠償規定を含める。
(クラウド事業者の管理体制)
第137条 クラウド利用者は、クラウド事業者に対して、情報セキュリティポリシー等の遵守を担保する管理体制が整備されているか、クラウド事業者の組織体制について、次の各号に掲げる内容を確認し、合意しなければならない。
(1) サービスの提供についての管理責任を有する責任者の設置
(2) 情報システムについての管理責任を負い、これについて十分な技術的能力及び経験を有する責任者(システム管理者)の設置
(3) サービスの提供に係る情報システムの運用に関する事務を統括する責任者の設置
(クラウド事業者従業員への教育)
第138条 クラウド利用者は、クラウド事業者に、従業員に対して個人情報保護等の関係法令、守秘義務等、業務遂行に必要な知識、意識向上のための適切な教育及び訓練を実施し、充分な知識とセキュリティ意識を醸成することを求めなければならない。
2 クラウド利用者は、クラウド事業者に、従業員への上記育成計画、教育実績等の情報を提示させ、自らデータを管理する場合と同様の教育・訓練を実施しているかを確認しなければならない。
(情報セキュリティに関する役割の範囲、責任分界点)
第139条 クラウド利用者は、クラウド事業者の情報セキュリティに関する役割の範囲と責任分界点について開示するよう求めなければならない。
2 クラウド利用者は、クラウド事業者の情報セキュリティに関する役割の範囲と責任分界点がクラウド利用者側で講ずる情報セキュリティ対策の役割の範囲と整合することを確認し、合意しなければならない。
(監査)
第140条 クラウド利用者は、クラウドサービスの監査状況、範囲・条件、内容等についてクラウド事業者に開示するよう求めなければならない。
2 クラウド利用者は、クラウド事業者によるクラウドサービスに関する監査レポート等を根拠にして、自らの関係法令、情報セキュリティポリシーと照らし合わせ、安全性が確保されているかについて確認しなければならない。
(情報インシデント管理及び対応フローの合意)
第141条 クラウド利用者は、情報セキュリティインシデント管理に関する責任範囲及びインシデント対応フローを、サービス仕様の一部として定めることについて、クラウド事業者に対して求めなければならない。
2 クラウド利用者は情報セキュリティインシデント管理に関する責任範囲と及びインシデント対応フローを検証しなければならない。
(クラウドサービスの提供水準及び品質保証)
第142条 クラウド利用者は、クラウドサービスの提供水準(サービス内容、提供範囲等)と品質保証(サービス稼働率、故障等の復旧時間等)を確認するとともに、それらの水準・品質が、業務遂行に求められる要求水準を満たすことを確認し、合意しなければならない。
(クラウド事業者の再委託先等との合意事項)
第143条 クラウド利用者は、クラウド事業者と合意したサービス履行内容及び情報セキュリティ対策について、クラウド事業者自らが実施する内容と、再委託先等に委託する内容も含めて提示することをクラウド事業者に求めなければならない。また、サプライチェーンリスク対策が適切に講じられていることをクラウド事業者に求めなければならない。
2 クラウド利用者は、前項の提示内容が、クラウド事業者と合意したサービス履行内容及び情報セキュリティ対策と整合していることを確認しなければならない。
(その他留意事項)
第144条 クラウド利用者は、クラウド事業者がサービスを安定して提供可能な企業又は団体であるかについて考慮しなければならない。
2 クラウド利用者は、クラウド事業者間でのデータ形成の互換性が必ずしも保証されている訳ではないことから、事業者を変更する際のデータ移行の方法などについて、クラウド事業者にサービス提供定款や契約書面上で確認又は合意しなければならない。
3 クラウド利用者は、クラウド事業者に対して、クラウドサービスにおいて扱う情報資産や情報システム等について、日本の法令が適用されること及び係争等における管轄裁判所が日本国内であることを確認しなければならない。
第3節 約款による外部サービスの利用
(約款による外部サービスの利用に係る規定の整備)
第145条 教育情報システム管理者は、次の各号に掲げる内容を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、機密性の高い情報の取扱いには十分に留意するように規定しなければならない。
(1) 約款によるサービスを利用してよい範囲
(2) 業務により利用する約款による外部サービス
(3) 利用手続及び運用手順
(約款による外部サービスの利用における対策の実施)
第146条 教職員等は、利用するサービスの約款、その他提供条件から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適切な措置を講じた上で利用しなければならない。
第4節 ソーシャルメディアサービスの利用
(ソーシャルメディアサービスの利用)
第147条 教育情報システム管理者は、教育委員会又は学校が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の各号に掲げる事項を含めたソーシャルメディアサービス運用手順を定めなければならない。
(1) 教育委員会のアカウントによる情報発信が、実際の教育委員会のものであることを明らかにするために、教育委員会の自己管理ウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を行うこと。
(2) パスワードや認証のためのコード等の認証情報及びこれを記録した媒体(ICカード等)等を適切に管理するなどの方法で、不正アクセス対策を行うこと。
2 重要性分類Ⅲ以上(機密性2A以上)の情報は、ソーシャルメディアサービスで発信してはならない。
3 利用するソーシャルメディアサービスごとの責任者を定めなければならない。
第10章 事業者に対して確認すべきプライバシー保護に関する事項
(事業者への確認)
第148条 外部委託やクラウドサービスの利用に当たっては、事業者における個人情報の適切な管理が行われていることが必須であることから、個人情報の収集・利用範囲や管理期間、データの統制と所有のあり方等について、事業者に確認を行わなければならない。また、次の各号の内容については、調達時においてサービスの過剰な排除にならないよう留意した上で、契約要件等として定めなければならない。
(1) 個人情報とは、学習者及びその保護者(以下「学習者等」という)に関する情報であって、氏名、性別、住所、生年月日、電話番号、メールアドレス等により、特定の学習者等を識別することができるものであること。
(2) 個人情報を取得するときは、適正かつ公正な手段により行い、利用目的をあらかじめ公表し、又は取得後速やかに学習者等に通知若しくは公表すること。
(3) 利用目的の達成に必要な範囲内で、適正に学習者等の個人情報を取り扱うこと。利用目的のために必要な場合を除き、個人プロファイルを作成しないこと。
(4) 学習システムに関するクラウドサービスを提供する事業者(以下「学習サービスプロバイダー」という。)が取得した個人情報は、当該学習サービスのためのみに利用するものとすること。また、学習者等への当該学習サービスに関わらないターゲティング広告の目的には利用しないこと。なお、利用目的の詳細は、学習サービスプロバイダーのプライバシーポリシーに明記すること。
(5) 事前に学習者等から同意を頂いている場合、法令等により提供が認められている場合を除き、学習者等の個人情報を第三者に提供しないこと。例えば、学習者等への当該学習サービスに関わらないターゲティング広告の目的で個人情報を第三者へ提供しないこと。
(6) 教育機関、学習者等に対する明確な通知又は公表なしに、学習者等のプライバシーポリシーの実質的な変更を行わないこと。また、個人情報保護法その他の法令に反するような変更は行わないこと。
(7) 学習サービスプロバイダーは、学習サービスの提供期間(利用者と合意した期間)が満了したときは、個人情報を廃棄・削除すること。
(8) 収集する学習者等の個人情報の種類や、個人情報の利用目的、第三者提供、共同利用については、教育機関、学習者等が容易に理解できる表現にて、利用規約又は学習者サービスプロバイダーのプライバシーポリシーで明確に示すこと。
(9) 個人情報を提供した教育機関、学習者等から、学習者サービスプロバイダーが保有する個人情報の開示、訂正、追加、削除及び利用停止の要求があったときは、法令に従い、速やかに対応すること。
(10) 学習者等の個人情報は、細心の注意のもと、厳重に管理し、不正アクセス又は個人情報の紛失、破壊、改ざん、漏洩、盗難等のリスクに対し、適切な安全対策を講じること。また、個人情報を正確かつ最新の状態で管理すること。
(11) 学習サービスの提供について、その業務の全部又は一部を第三者に委託し、委託先に対して必要な範囲で学習者等の個人情報を提供する場合には、当該委託先との間で個人情報保護の契約を締結し、学習サービスプロバイダーと同等の義務を課し、個人情報保護法等を遵守するよう適切な監督を行うこと。
(12) 学習サービスプロバイダーの学習サービス事業が、合併、事業譲渡その他の事由により承継されたことに伴って、承継後の事業者が個人情報を取得した場合には、それまでに収集された個人情報については承継後の事業者は同様の義務を負い、あらかじめ学習者等の同意を得ないで、承継前における個人情報の利用目的の達成に必要な範囲を超えて、個人情報を取り扱わないこと。
(13) 学習サービスプロバイダーは、同意を得ない場合、匿名加工情報とせずに第三者へ提供しないこと、及び学習サービスの利用状況の分析等のため、匿名加工情報を作成する場合は、個人情報保護法等の法令に従い、個人情報を特定の個人を識別できないように加工して、「個人に関わる情報項目」及び「提供方法」を公表すること。
第11章 クラウドサービス活用における個人情報
(整理すべき事項)
第149条 クラウドサービスを活用する際に個人情報を取り扱う場合、養父市個人情報保護審議会に諮る上で、次の各号に掲げる内容の整理を行わなければならない。
(1) 自治体として、当該システムの目的を明確にしておくこと。また、個人情報を取り扱う理由も明確化すること。
(2) 諮問に関わるシステムの対象範囲を明確にすること。新規のシステムでは全てが対象になることが考えられるが、既存システムの一部にクラウドサービスを利用し、そこで個人情報を取り扱う場合などは、対象部分が分かるように整理すること。
(3) 本人(保護者)同意の必要性を確認すること。
(4) 想定されるリスクを洗い出し、それらのリスクに対してどのような技術的対策を講じているかを整理すること。
(5) 組織体制を明確化し、インシデント発生時の取り決めを整理すること。
(6) 個人情報提供先のクラウド事業者における二次利用に対する対策を整理すること。また、契約内容で縛ることやクラウド事業者における「個人情報保護方針」及び「プライバシーポリシー」などを確認すること。
(7) クラウド事業者において、セキュリティやプライバシーに関する第三者認証を取得しているかどうかを確認すること。
第12章 1人1台端末におけるセキュリティ
第1節 学習者用端末のセキュリティ対策
(授業に支障のないネットワーク構成の選択)
第150条 クラウドサービス提供事業者側のサービス要件基準を満たしたネットワーク構成を設計しなければならない。また、運用開始前には十分検証し、利用状況に応じて定期的に改修計画を行わなければならない。
(不適切なウェブページの閲覧防止)
第151条 児童生徒が端末を利用する際に不適切なウェブページの閲覧を防止する対策を講じなければならない。
(マルウェア感染対策)
第152条 学校内外での端末の利用におけるマルウェア感染対策を講じなければならない。
(端末を不正利用させないための防止策)
第153条 端末のセキュリティ状態の監視に加えて、不適切なアプリケーションやコンテンツの利用を制限し、常に安全で児童生徒が安心して利用できる状態を維持しなければならない。
(セキュリティ設定の一元管理)
第154条 児童生徒への端末配布後においても、端末のセキュリティ設定やOSアップデート、ウェブブラウザのアップデート、学習用ツールのインストール、端末の利用履歴も含めた状態確認などの作業を、離れた場所からでも一元管理できるよう努めなければならない。
(端末の盗難・紛失時の情報漏洩対策)
第155条 児童生徒が端末を紛失しても、遠隔操作でロックをかける、又はワイプ(データ消去)することで第三者による不正操作や情報漏洩を防ぐ等の安全管理措置を講じなければならない。
(運用及び連絡体制の整備)
第156条 学校内外での端末の運用ルールを制定し、インシデント時の連絡先対応方法を各学校にて整理しなければならない。
第2節 児童生徒におけるID及びパスワード等の管理
(ID登録、変更、削除等)
第157条 IDについては、シンプル・ユニーク(唯一無二)・パーマネント/パーシスタント(永続的な識別)な構成要素になっていることや、児童生徒の発達段階に応じた複雑性を上げたパスワードポリシーによりセキュリティ強度を上げていくなど適切な措置を講じなければならない。また、ID登録やパスワードポリシーにおいては情報セキュリティ対策として重要な要素であるため学校ごとに管理するのではなく、同一ドメインの教育委員会で一元管理するよう努めなければならない。
2 IDについては、原則として進級/進学にも変更不要とする。さらに統合型校務支援システム等における児童生徒の氏名と連動したID管理を行うことで、校務側で管理している属性情報と一体となったIDを含んだマスター管理を一元化するよう努めなければならない。
3 ユニークなIDは、個人を識別できる可能性があるため、個人情報保護の観点から、サービス提供期間を超えて個人を特定する情報を保持しないようにする必要がある。なお、本人同意や個人情報保護条例に従った適切な管理の下、一部のデータを活用する場合を除き、転出や卒業退学時に学習用ツールのサービス利用期間が終了する場合は、あらかじめ児童生徒本人によるデータ移行をサービス利用期間内に実施し、IDの利用停止後、最終的にはID及び関連するデータの完全削除を行わなければならない。
(学習用ツールへのシングルサインオン)
第158条 学習履歴を活用したり、個人の成果物を保存するアプリケーションが増えてくると、サービス利用時に都度ID/パスワード等の認証情報を入力したり、サービスごとのアカウント情報管理が非常に煩雑になるため、一度の認証により一定時間は各種サービスにアクセスが行えるシングルサインオンの導入を行うよう努めなければならない。
第13章 評価・見直し
第1節 監査
(実施方法)
第159条 CISOは、情報セキュリティ監査を実施する者を指名し、教育ネットワーク及び教育情報システム等の情報資産における情報セキュリティ対策状況について、定期的に監査を行わせなければならない。
(監査を行う者の要件)
第160条 情報セキュリティ監査を実施する者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。
2 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
(監査実施計画の立案及び実施への協力)
第161条 情報セキュリティ監査を実施する者は、監査を行うに当たって、監査実施計画を立案し、ICT整備検討委員会の承認を得なければならない。
2 被監査部門は、監査の実施に協力しなければならない。
(外部委託事業者に対する監査)
第162条 外部委託事業者に委託している場合、情報セキュリティ監査を実施する者は外部委託事業者から下請けとして受託している事業者も含めて、教育情報セキュリティポリシーの遵守について監査を定期的に又は必要に応じて行わなければならない。
(報告)
第163条 情報セキュリティ監査を実施する者は、監査結果を取りまとめ、ICT整備検討委員会に報告しなければならない。
(保管)
第164条 情報セキュリティ監査を実施する者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。
(監査結果への対応)
第165条 CISOは、監査結果を踏まえ、指摘事項を所管する学校情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない学校情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。
(情報セキュリティポリシー及び関係規程等の見直し等への活用)
第166条 ICT整備検討委員会は、監査結果を情報セキュリティポリシー及び関係規定等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第2節 自己点検
(実施方法)
第167条 教育情報セキュリティ責任者及び教育情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。
2 教育情報セキュリティ責任者は、教育情報セキュリティ管理者及び学校情報セキュリティ管理者と連携して、所管する部局における教育情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じて自己点検を実施しなければならない。
(報告)
第168条 統括教育情報セキュリティ責任者、教育情報セキュリティ責任者及び教育情報システム管理者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、ICT整備検討委員会に報告しなければならない。
(自己点検結果の活用)
第169条 教職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
2 ICT整備検討委員会は、この点検結果を情報セキュリティポリシー及び関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第3節 教育情報セキュリティポリシー及び関係規程等の見直し
(教育情報セキュリティポリシー及び関係規程等の見直し)
第170条 ICT整備検討委員会は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等を踏まえ、情報セキュリティポリシー、関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合、改善を行うものとする。
第14章 その他
(その他)
第171条 この訓令で定めるもののほか、必要な事項は、教育委員会が別に定める。
附則
この訓令は、公布の日から施行する。
別表(第15条関係)
重要資産の分類 | 情報資産の例示 | ||||||
重要性分類 | 定義 | 機密性 | 完全性 | 可用性 | 校務系 | 学習系 | 公開系 |
Ⅰ | セキュリティ侵害が教職員又は児童生徒の生命、財産、プライバシー等へ重大な影響を及ぼす。 | 3 | 2B | 2B | ・指導要録原本 ・教職員の人事情報 ・入学者選抜問題 ・教育情報システム仕様書 | ||
Ⅱ | セキュリティ侵害が学校事務及び教育活動の実施に重大な影響を及ぼす。 | 2B | 2B | 2B | ○学籍関係 ・卒業証書授与台帳 ・転退学受付(整理)簿 ・転入学受付(整理)簿 ・就学児童・生徒異動報告書 ・休学・退学願等受付(整理)簿 ・教科用図書給付児童・生徒名簿 ・要・準要保護児童・生徒認定台帳 ・その他校内就学援助関係書類 ○成績関係 ・通知表 ・評定一覧表 ・進級・卒業認定資料 ・定期考査・テスト等の答案用紙 (児童・生徒が記入済のもの) ・定期考査素点表 ・成績に関する個票等 ○指導関係 ・事故報告書・記録簿 ・生徒指導・特別指導等記録簿 ・児童・生徒等の個人写真・集合写真 ・指導記録・指導カード (児童・生徒等理解カード) ・教育相談・面接の記録・カード等 ・個別の教育支援計画 (学校生活支援シート) ・個別指導計画 ・家庭訪問記録・個別面談記録 ・教務手帳 ・週ごとの指導計画 (個人情報が含まれるもの) ○進路関係 ・調査書 ・推薦書 ・公立高校入学者選抜に係る成績一覧表 ・入学者選抜に関する表簿(願書等) ・私立高校入試に係る事前相談資料 ・卒業生進路先一覧等 ・進路希望調査 ・進路判定会議資料 ・進路指導記録簿 ○児童・生徒に関する個人情報 (生活歴、心身の状況、財産状況等の情報、電話番号、メールアドレス、住所、氏名、生年月日、性別等の基本情報を含むもの) ○学校教職員に関する個人情報 (病歴、心身の状況、収入等の情報、電話番号、メールアドレス、住所、生年月日、性別等の基本情報を含むもの) ○健康関係 ・健康診断票 ・歯の検査表 ・心臓管理等医療情報 ・学校生活管理指導票 ・児童・生徒等健康調査票 ・児童・生徒の健康保険等被保険者証の写 ・健康診断に関する表簿 ・就学時健康診断票 ○教職員に割り当てた機密性の高い情報 ・情報システムログインID/PW管理台帳 ・情報端末ログインID/PW管理台帳 ○その他 ・給食関係書類・寄宿関係資料 ○名簿等 ・児童生徒名簿 ・保護者緊急連絡網 ・児童生徒の住所録 ・PTA会員名簿 ・職員緊急連絡網・職員住所録 ・委員会名簿 ・PTA役員連絡網 ○各種帳票ファイル ・指導要録作成システム等、データの入っていない帳票 | ○児童生徒の学習系情報 ・学習システムログインID/PW管理台帳 ・学習用端末ID/PW管理台帳 | |
Ⅲ | セキュリティ侵害が学校事務及び教育活動の実施に軽微な影響を及ぼす。 | 2A | 2A | 2A | ○児童生徒の氏名 ・出席簿 ・名列表 ・座席表 ・児童生徒委員会名簿 ○学校運営関係 ・卒業アルバム ・学校行事等の児童・生徒の写真 | ○学校運営関係 ・授業用教材 ・教材研究資料 ・生徒用配布プリント ○児童生徒の学習系情報 ・児童生徒の学習記録 (確認テスト、ワークシート、レポート、作品等) ・学習活動の記録(動画・写真等) | |
Ⅳ | 影響をほとんど及ぼさない。 | 1 | 1 | 1 | ○学校運営関係 ・学校・学園要覧 ・学校紹介パンフレット ・使用教科書一覧 ・教育課程編成表 ・学校設定科目の届け出 ・特色紹介冊子原稿 ・学校徴収金会計簿 (学年費、教育振興費等) ・学校行事実施計画 (避難訓練・体育祭実施計画等) ・保護者等への配布文書文例 ・各種届雛形・校務分掌表 ・PTA資料 ・学園・学校・学年・学級だより ・学校・学園ホームページ掲載情報 ・学校行事のしおり ○学校活動の記録 ※保護者の承諾がある場合、以下は公開可能 ・学校行事等の児童・生徒の写真 ・学習活動の記録(動画・写真・作品等) | ||