明治大学情报セキュリティポリシー
2024年3月6日制定
Ⅰ 情报セキュリティ基本方针
1 基本理念及び目的
情报システムは、大学において教育、研究、社会活动その他関连する
业务を行うに当たって、必要不可欠なものであり、可能な限り自由に活
用されるべきものである。この情报システムを安全かつ効果的に运用し
ていくためには、情报资产の安全性と健全性の确保に努め、これを保全
していく必要がある。
そのために、学校法人明治大学及びその设置学校(以下「本学」とい
う。)の教职员、学生その他本学の构成员は、情报资产の価値を十分に
认识し、个人及び学内の情报资产を守るだけでなく、他者及び学外に対
する不正な情报提供、情报资产の侵害等が行われないように努め、本学
における情报システムの信頼性を高めていかなければならない。
そこで、本学においては、上记を踏まえて、次の事项の実现を目的と
して情报セキュリティ基本方针(以下「基本方针」という。)及び情报
セキュリティ対策基準(以下「対策基準」という。)からなる明治大学
情报セキュリティポリシー(以下「本ポリシー」という。)を制定し、
本学の全构成员に周知を図ることとする。
(1) 情報セキュリティ対策の実施体制を整備すること。
(2) 本学に対する情報セキュリティ侵害を防止?抑止すること。
(3) 学内外の情報セキュリティを損ねる行為を防止?抑止すること。
(4) 重要度に応じた情報資産の管理?運用を行うこと。
(5) 社会的な要請に対応した情報資産の管理?運用を行うこと。
(6) インシデントへの対処を行うこと。
(7) 情報セキュリティに関わる利用者への啓発?教育を行うこと。
なお、情报セキュリティを确保?维持するための方策及び手顺は、技
术の进展、社会情势の変化、本学の情报システムの変更等により変化する。
よって、适宜、基本方针、対策基準、実施手顺等を见直すとともに、
本学の全构成员にこれを周知し、理解と协力を求めていくこととする。
2 用语の定义
本ポリシーにおける用语の定义は、次に掲げる用语を含め、政府机関
等のサイバーセキュリティ対策のための统一基準に定める定义を基本と
する。
(1) 情報セキュリティ
情报资产の机密性、完全性及び可用性を维持すること。
(2) 情報資産
情报及び情报を管理する仕组み(情报システム并びにシステム开発、
运用及び保守のための资料等)の総称。
(3) インシデント
望まない単独若しくは一连の情报セキュリティ事象、又は予期しな
い単独若しくは一连の情报セキュリティ事象であって、事业运営を危
うくする确率及び情报セキュリティを胁かす确率が高いもの。
(4) 情報システム
ハードウェア及びソフトウェアから成るシステムであって、情报処
理又は通信の用に供するものをいい、特に断りのない限り、本学が调
达又は开発するもの(管理を外部委託しているシステムを含む)。
3 対象范囲及び対象者
(1) 本ポリシーの対象範囲は、次のとおりとする。
ア 本学の管理する情报システム及びその保有しているデータ
イ 本学の管理するネットワークに接続された情报システム及びそ
の保有しているデータ
ウ その他、本学の诸活动に伴い取り扱われるデータ及びそれを保
有している情报システム
(2) 本ポリシーの対象者(以下「対象者」という。)は、役員、教職員
(临时?非常勤の教职员を含む。)、客员研究员、共同研究者、学生、
生徒、研究生、聴讲生、委託业者、协力业者、来校者等本学において
活动を行うすべての者とする。
4 対象者の义务
(1) 対象者の一般的な義務
対象者は、情报セキュリティ委员会が定める対策基準及び実施手顺
のほか、情报セキュリティポリシーに関するガイドラインを遵守しな
ければならない。
(2) 情報システムの管理者の義務
ア 教育情報システム、研究情報システム、図书馆情報システム、
事务情报システム等の各情报システム管理责任者は、学内外から、
情报システムの不正使用、データの不正な利用等にかかわる苦情、
通报等があった场合には、速やかに调査を行わなければならない。
イ 情报システム管理责任者は、调査の结果、不正が确认されたと
きは、别に定める実施手顺等に基づき、関係する通信の遮断、该
当する情报システムの切离し等の必要な措置を讲ずるものとする。
(3) 利用者の義務
ア 情报システムを利用する者(以下「利用者」という。)は、学内
外に対して、情报セキュリティを损ねる行為をしてはならない。
イ あらかじめ想定されていない事故又は行為によって情报セキュ
リティが侵害されたときは、利用者は、直ちに情报セキュリティ
管理者を経て、情报システム管理责任者に连络しなければならない。
ウ 个人、研究室等で、利用者自らが直接管理する情报资产につい
ては、各利用者がそのセキュリティに関する责任を负うものとする。
5 情报セキュリティ関连校规等
対象者は、本ポリシーのほか、次の情报セキュリティに関连する校规
を理解するとともに、これを遵守しなければならない。
(1) 学校法人明治大学総合情報システム管理規程(1993年度規程第3号)
(2) 事務情報システム管理?運用規程(1993年度規程第4号)
(3) 学校法人明治大学総合情報ネットワーク管理?運用規程(1994年度規程第10号)
(4) 学校法人明治大学総合情報ネットワーク(MIND)利用基準(1995年度例規第11号)
(5) 学校法人明治大学総合情報ネットワーク(MIND)運用基準(1996年度例規第4号)
(6) 学校法人明治大学総合情報ネットワーク(MIND)審査委員会要綱(1997年度例規第12号)
(7) 明治大学ホームページ管理?運用規程(1999年度規程第9号)
(8) 明治大学ホームページへのリンク登録に関する要領(1999年度例規第5号)
(9) 個人情報の保護に関する規程(1999年度規程第8号)
(10)学校法人明治大学个人情报保护方针(2005年3月8日制定)
(11)その他関连する校规等
Ⅱ 情报セキュリティ対策基準
1 趣旨
この対策基準は、基本方针の目的を达成するために、必要な组织?体
制、基準、指针等を定めるものとする。
2 组织及び体制
本学における情报セキュリティを确保するために、次に掲げる者を置
くとともに、その権限と责务を明确にする。
(1) 情報セキュリティ最高責任者
ア 情報セキュリティ最高責任者(CISO:Chief Information Security
Officer、以下「CISO」という。)は、教育、研究、事務、図书馆、
ネットワーク等の主要システムについて、第3号に规定する情报セ
キュリティ管理者を指名するとともに、全学的な情报セキュリティ
の维持?向上、情报セキュリティ対策の推进、情报セキュリティに
関する事件?事故等の対処にかかわる责任を负うものとする。
イ あらかじめ想定されていない事故又は行為によって情报セキュリ
ティが侵害され、紧急な対処を必要とする场合には、颁滨厂翱が判断
し、その内容に応じて当该情报セキュリティ管理者等に命じて対処
するものとする。
ウ 颁滨厂翱は、本学における情报システムを所管する担当常勤理事を
もって充てる。
エ 颁滨厂翱が、その责务を遂行するために、颁滨厂翱を委员长とする「情
报セキュリティ委员会」を设置する。
オ 颁滨厂翱は、以下を含む情报セキュリティ対策推进体制の役割を规
定する。
(?) 情報セキュリティ関連校規及び対策推進計画の策定に係ること
(?) 情報セキュリティ関連校規の運用に係ること
(?) 例外措置に係ること
(?) 情報セキュリティ対策の教育の実施に係ること
(?) 情報セキュリティ対策の自己点検に係ること
(?) 情報セキュリティ関連校規及び対策推進計画の見直しに係ること
(2) 情報セキュリティ副責任者
ア 情报セキュリティ副责任者(以下「副颁滨厂翱」という。)は、颁滨厂翱
の命を受けて本学の情报セキュリティに関する事项を统括する。
イ 副颁滨厂翱は、颁滨厂翱を补佐し、颁滨厂翱に事故あるときは、その职务を
代行する。
ウ 副颁滨厂翱は、颁滨厂翱が本学の専任教员の中から指名する。
エ 副颁滨厂翱の任期は、颁滨厂翱と同一とする。
(3) 情報セキュリティ管理者
ア 情报セキュリティ管理者(以下「管理者」という。)は、管理す
る情报资产におけるセキュリティの対策及び维持にかかわる责任を
负う。
イ 管理者は、次に掲げる者とする。
(?) 学校法人明治大学総合情報システム管理規程に定めるシステム
の管理者
(?) 事務情報システム管理?運用規程に定める情報の管理責任者
(?) 個人情報の保護に関する規程に定める情報の管理責任者
(?) 学校法人明治大学総合情報ネットワーク(MIND)運用基準
に定めるサーバシステムの管理责任者
(?) 学校法人明治大学総合情報ネットワーク(MIND)利用基準
に定める接続责任者
(?) 機器又は当該機器で利用するソフトウェア、システム等につい
ては、そのシステムの管理者
(?) 上記(?)~(?)のほか、個人、研究室等において、利用者自らが
直接管理する情报资产を持つ场合については、その利用者
ウ 机器?システム等の导入を主体的に行った者は、そのシステムの
管理者を速やかに定めなければならない。
エ 管理者は、その権限内において行う作业を権限のない他者(学生、
业者等)へ委任した场合においても、なお、その结果について责任
を负うものとする。
オ 管理者は、管理を行う组织における情报セキュリティ対策を推进
するために、次に掲げる事项を担う。
(?) 情報セキュリティインシデントの原因調査、再発防止策等の実施
(?) 情報セキュリティに係る自己点検計画の策定及び実施手順の整備
(?) 前2号に掲げるもののほか、管理を行う組織の情報セキュリテ
ィ対策に関すること
(4) 情報セキュリティ実施責任者
ア 管理者を统括し、颁滨厂翱を补佐する者として、情报セキュリティ
実施责任者を置く。
イ 情报セキュリティ実施责任者は、次に掲げる事项を担う。
(?) 情報セキュリティ対策に関する実施手順の整備及び見直し並び
に実施手顺に関する取りまとめ
(?) 情報セキュリティ対策に係る教育実施計画の策定及び当該実施
体制の整备
(?) 例外措置の適用審査記録の台帳整備等
(?) 情報セキュリティインシデントに対処するための緊急連絡窓口
の整备等
(?)前各号に掲げるもののほか、情报セキュリティ対策に係ること
ウ 情報セキュリティ実施責任者は情报基盘本部長をもって充てる。
(5) 情報セキュリティアドバイザー
ア 颁滨厂翱は、情报セキュリティについて専门的な知识及び経験を有
する者を情报セキュリティアドバイザーとして置く。
イ 情报セキュリティアドバイザーは、次に掲げる事项を行う。
(?) 全学の情報セキュリティ対策の推進に係るCISO及び情報セキ
ュリティ実施责任者への助言
(?) 情報セキュリティ関連校規の整備に係る助言
(?) 対策推進計画の策定に係る助言
(?) 教育実施計画の立案に係る助言
(?) 情報システムに係る技術的事項に係る助言
(?) 情報システムの設計?開発を外部委託により行う場合に調達仕
様に含めて提示する情报セキュリティに係る要求仕様の策定に係
る助言
(?) 情報セキュリティインシデントへの対処の支援
(?) 前各号に掲げるもののほか、情報セキュリティ対策への助言又
は支援
ウ 情报セキュリティアドバイザーは、颁滨厂翱が指名する。
エ 情报セキュリティアドバイザーの任期は颁滨厂翱と同一とする。
(6) 情報セキュリティ委員会
ア 颁滨厂翱は、本学における情报セキュリティ対策を推进し、本学の
情报システムの安全かつ适切な运用を図るため、情报セキュリティ
委员会(以下「委员会」という。)を置く。
イ 委员会は、基本方针の维持及び见直しのほか、対策基準及び実施
手顺の策定、运用、启発活动等を任务とする。
ウ 委员会の运営等に関し、必要な事项については、明治大学情报セ
キュリティ委员会规程(2007年度规程第73号)の定めるとこ
ろによる。
(7) 情報セキュリティ対策実施作業部会
ア 情报セキュリティ委员会は、本学におけるインシデントの発生时
に、迅速かつ円滑に対応するために、情报セキュリティ対策実施作
業部会(CSIRT:Computer Security Incident Response Team、以下
「颁厂滨搁罢」という。)を情报セキュリティ委员会の下に置く。
イ 颁厂滨搁罢は、次に掲げる事项を行う。
(?) 本学に関わる情報セキュリティインシデント発生時の対処の一
元管理
(?) 情報セキュリティインシデントへの迅速かつ的確な対処
(?) 前2号に掲げるもののほか、情報セキュリティ委員会において
定める事项
(8) 担当部署
ア 情报セキュリティにかかわる担当部署は、情报メディア部システ
ム企画事务室とする。
イ 担当部署は、以下の事务を行う。
(?) 情報セキュリティ委員会の運営に関する事項
(?) 本学の情報システムの運用と利用におけるポリシーの実施状況
の取りまとめ
(?) 講習計画、リスク管理及び非常時行動計画等の実施状況の取り
まとめ
(?) 本学の情報システムのセキュリティに関する連絡と通報
(?) CISO及び情報セキュリティ実施責任者の支援
3 セキュリティ上の事故等への対応
(1) 管理者は、セキュリティ上の事故等问题が発生したとの连络を受
けた场合、直ちにセキュリティの确保?维持のための适切な措置を
讲じるとともに、その内容を颁滨厂翱へ报告しなければならない。この
场合において、颁滨厂翱は、この报告を受けた场合、必要に応じて委员
会を开催することとする。なお、管理者は、一时的?技术的な対応
に当たる際には、情报基盘本部と連携して行うものとする。
(2) 管理者は、个人情报の保护に関する规程、学校法人明治大学総合
情报ネットワーク(MIND)运用基準等事故等発生时の対応手顺
等に関し别に定めがある场合、それに従うものとする。なお、その
场合においても、颁滨厂翱に必要な报告を行うものとする。
4 具体的な対策
(1) 対象者は、管理し、又は利用する情報資産に対し、関連校規及びポ
リシーに定めることに留意し、情报セキュリティの确保?维持に努め
なければならない。
(2) 対策基準の詳細その他セキュリティの確保?維持に必要な事項は、
委员会が别に定める実施手顺及びガイドラインに定めるところによる。
(3) 管理者は、本ポリシー及び実施手順に定めのない事項又は情報資産
に係る固有の事情により実施手顺等に従うことができない场合、実施
手顺を别途定め、委员会の承认を得るものとする。
5 情报资产の分类と管理
管理者及び対象者は、情报资产について、その内容又は重要度に応じ
て、适切に管理を行わなければならない。
(1) 物理的セキュリティ
ア 管理者は、情报资产の重要度に相応しい场所及び方法により、设
置?保管すること。また、设置?保管场所の周辺环境?施设设备を
考虑し、入退室の管理、灾害?盗难の防止等必要な対策を讲じること。
イ 管理者は、バックアップの取得等により、电子データの原本の确
保?保管に配虑すること。
ウ 管理者は、対象者が情报资产を学外へ持ち出すことのないように
周知を図ること。情报资产を学外へ持ち出す者は、その取扱いにつ
いて、セキュリティに関し适切な対策を行うとともに、持ち出す际
の手続に関し别に定めがある场合には、それに従うこと。
エ 学内に情报资产を持ち込む者は、持ち込む机器、ソフトウェア、
メディア等に対し、适切なセキュリティ対策を行うこと。
オ システム、机器若しくは情报等を记録したメディアを廃弃又は返
却する者は、记録されている情报の消去に関し、适切な措置を讲じ
ること。
(2) 人的セキュリティ
ア 管理者は、利用者に対し、必要なセキュリティの指导を行うこと。
イ 管理者は、情报资产を利用させるに当たって、利用资格、アク
セス権、アクセス方法等について検讨し、适切な方法により利用
が可能となるようにすること。
ウ 管理者から情报资产の利用するために必要な情报(パスワード
等)を与えられた者は、その管理には十分な注意を払い、不正に
利用されることのないようにすること。
エ 情报资产を取り扱う者は、それが不用意に他者へ开示されてし
まうことのないように、适切に取り扱うとともに、保管等に注意
すること。
(3) 技術的セキュリティ
ア 管理者は、情报资产を利用させる场合、重要度に応じ、适切な
アクセス制限を行う仕组并びに不正なアクセスの防止及びその検
知手段等について検讨し、必要な対策を讲じること。
イ 管理者は、システム等のアクセスログ、操作ログ等について、
情报资产の重要度に応じ、当该ログの取得项目、保存期间等を定
めて保存すること。
ウ 管理者は、管理する机器?ソフトウェアについて、常にその构
成を把握し、セキュリティに係る更新、ウィルス対策等适切なセ
キュリティの维持に努めること。
(4) システム導入、移転及び撤去時におけるセキュリティ対策
ア 管理者は、システムの导入及びデータの作成を行う际には、そ
れらのセキュリティの确保について十分な検讨を行い、必要な対
策を讲じること。システムの运用及び保守并びにデータの保守を
行う际についても、同様とする。
イ 管理者は、システムの移転若しくは撤去又はデータの廃弃を行
う际には、个人情报等机密情报への対処を适切に行うこと。
ウ これらの业务を委託する场合、基本方针?対策基準の遵守等セ
キュリティ确保のために必要な事项を、仕様书、契约书等に明记
すること。
6 违反者への措置
対象者が、本ポリシーに违反した违反した场合には、校规等に基づき、
必要な処分を行うことがある。
7 监査
(1) セキュリティに係る監査については、学校法人明治大学総合情報シ
ステム管理规程第8条に定めるところにより実施するものとする。
(2) 対象者は、セキュリティに係る監査のほか、委員会等からのセキュ
リティの维持?向上にかかわる调査、依頼等に関して、协力しなけれ
ばならない。
8 事业継続计画との整合
CISOは、本ポリシー及び「Ⅰ 情报セキュリティ基本方针」の「5
情报セキュリティ関连校规等」の见直しを指示又は依頼するに际し、本
学における事业継続计画との整合性を确保すること。
9 兼务を禁止する役割
(1) 本ポリシーの対象者等は、本ポリシーの運用において、次の役割を
兼务してはならない。
ア 申请する者とその申请を承认する者
イ 监査を受ける者とその监査を実施する者
(2) 対象者は、承認等を申請する場合において、自らが承認権限者等で
あるときその他承认権限者等が承认等の可否の判断をすることが职务
上の利益相反行為となるおそれがあるときは、适切な者に承认等を申
请し、承认等を得ること。
(3) 前号に基づき承認等を行った者は、当該申請事案に限り、承認権者
に係る遵守事项等の义务を负う。
以 上