○国立大学法人東京科学大学情報セキュリティ規則
令和6年10月1日
規則第70号
目次
第1章 総則(第1条―第4条)
第2章 情報セキュリティ対策基準(第5条―第14条)
第3章 情報セキュリティ組織体制(第15条―第27条)
第4章 個人情報の取扱い(第28条)
第5章 情報危機管理体制(第29条―第35条)
第6章 罰則(第36条)
第7章 雑則(第37条)
附則
第1章 総則
(目的)
第1条 この規則は、国立大学法人東京科学大学情報セキュリティポリシー(令和6年10月1日決定。以下「ポリシー」という。)に基づき、国立大学法人東京科学大学(以下「大学」という。)における情報及び情報システムの情報セキュリティ対策について必要な事項を定め、もって大学の保有する情報資産の保護と活用及び適切な情報セキュリティ対策を図ることを目的とする。
一 情報システム 情報処理及び情報ネットワークに係わるシステムで、次のいずれかに該当するものをいう。
イ 大学により、所有され、又は管理されているもの
ロ 契約又はその他協定に基づき、大学に提供されるもの
ハ 大学の情報ネットワークに接続する機器
二 情報コンテンツ 大学が管理・運用する教育、研究及び事務処理に係る全ての情報(紙媒体・電磁媒体等に記録されたもの)をいう。
三 情報資産 情報システム及び情報コンテンツを合わせたものをいう。
四 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
五 実施手順 ポリシー及びこの規則に基づき策定された情報セキュリティに関する具体的な手順やガイドラインをいう。
六 役職員等 大学の役職員その他これらに類する者をいう。
七 学生等 大学院課程又は学士課程に在学する学生、大学院研究生、科目等履修生、特別聴講学生、特別研究学生、海外交流学生、海外訪問学生、短期交流学生等の大学において修学する者及び附属科学技術高等学校の生徒をいう。
八 利用者 役職員等及び学生等で、情報資産を利用する許可を受けて利用する者をいう。
九 臨時利用者 役職員等及び学生等以外の者で、情報資産を臨時に利用する許可を受けて利用する者をいう。
十 情報セキュリティインシデント(以下「インシデント」という。) 情報資産への侵害又は情報セキュリティを脅かす事案をいう。
十一 部局等 国立大学法人東京科学大学組織運営規則(令和6年規則第1号)に定める組織をいう。
十二 クラウドサービス 事業者との相互契約に基づき、事業者によって定義されたインタフェースを用いて、共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスでき、利用者によって自由にリソースの設定・管理が可能なサービスをいう。
十三 約款によるクラウドサービス クラウドサービスのうち、画一的な約款に基づいた契約により、事業者がインターネット上の不特定多数の利用者に提供する電子メール、ファイルストレージ、グループウェア等のサービスをいう。
(適用範囲)
第3条 この規則は、情報資産を管理・運用する全ての者並びに利用者及び臨時利用者に適用する。
(秘密保持)
第4条 前条に規定する者は、職務上知り得た秘密を漏らしてはならない。その職を退いた後も、同様とする。
第2章 情報セキュリティ対策基準
(管理責任)
第5条 情報資産の管理責任は、次に掲げるとおりとする。
一 情報コンテンツの管理責任は、当該情報コンテンツを作成し、又は入手した部局等が負う。
二 情報システムの管理責任は、当該情報システムを管理し、又は運用する部局等が負う。
(利用者の責任)
第6条 情報コンテンツを利用する者は、次条に規定する格付けに応じて適切に利用する責任を負う。
2 情報システムの利用者及び臨時利用者は、当該情報システムの利用規約等を遵守して利用する責任を負う。
(情報コンテンツの格付け)
第7条 情報コンテンツは、その機密性、完全性及び可用性を踏まえ、別記に定めるところにより、第24条に規定する部局等情報セキュリティ責任者のもとで、格付けされなければならない。
(情報コンテンツの管理)
第8条 情報コンテンツの管理について、部局等情報セキュリティ責任者は、その格付けに応じて、適切な措置を講じなければならない。
2 不要となった情報コンテンツは、適切な処置を施して廃棄しなければならない。
3 大学に帰属する情報コンテンツのうち、その取扱いについて、国立大学法人東京科学大学法人文書管理規程(令和6年規程第11号)又は共同研究若しくは受託研究等の契約等により規定されているもの、その他法令等の定めがあるものについては、それによる。
(物理的セキュリティ)
第10条 部局等情報セキュリティ最高責任者は、情報システムを保護するため、必要な措置を講じなければならない。
(人的セキュリティ)
第11条 利用者及び臨時利用者は、この規則及び関係法令等を遵守し、大学の情報資産に対する情報セキュリティを確保しなければならない。
2 部局等情報セキュリティ最高責任者は、大学に帰属する情報資産に対する情報セキュリティを確保するため、必要な措置を講じなければならない。
(技術的セキュリティ)
第12条 部局等情報セキュリティ最高責任者は、大学の情報資産を不正アクセス等から保護するため、必要な措置を講じなければならない。
(外部委託)
第13条 大学の業務を外部委託により遂行する場合は、委託先においてポリシー及びそれに基づく規程等に適合した情報セキュリティ対策を確実に実施させる必要があるため、次に掲げる対策を実施するものとする。
一 契約 情報システムの開発、運用若しくは保守又は情報コンテンツの処理を外部委託事業者(下請けとして受託する業者を含む。)に発注する場合は、遵守事項を契約書に明記すること。
二 委託先選定 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は、外部委託を実施する場合には、選定基準を定め選定条件に従って委託先を選定すること。
三 再委託 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は、委託先がその役務内容を一部再委託する場合には、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、前号の選定条件を委託先に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を大学に提供し、大学の承認を受けるよう、仕様に含めること。
四 委託先管理 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は、委託先における情報セキュリティ対策や情報セキュリティの履行状況及び情報の取扱事項が遵守されていること等を確認すること。
五 クラウドサービスの利用 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は、クラウドサービスを利用する場合には、クラウド基盤部分を含む情報の流通経路全般を俯瞰し、総合的に対策を検討又は構成した上でセキュリティを確保すること。
六 約款によるクラウドサービスの利用 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は、約款によるクラウドサービスを利用する場合には、大学の情報をサービス提供事業者等に送信していることを十分認識し、リスクを十分に踏まえた上で利用の可否を判断し、情報セキュリティ対策を適切に講ずること。
(実施手順の作成)
第14条 各部局等は、この規則を遵守し、大学の情報資産に対する情報セキュリティ確保を実現するための具体的な対策基準として、実施手順を定め、個別の項目に関して、具体的な対策を規定しなければならない。
第3章 情報セキュリティ組織体制
(総括)
第15条 大学における情報セキュリティ組織体制は、別図1のとおりとする。
(最高情報セキュリティ責任者)
第16条 大学に、最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)を置き、情報基盤を担当する副理事をもって充てる。
2 CISOは、大学の情報セキュリティに関する全ての権限及び責任を有し、大学の情報セキュリティに関する事項を統括する。
3 CISOは、大学及び学外組織の情報資産に対する重大な侵害又は脅威等のインシデントが発生した場合は、速やかに第34条に規定する対策本部を設置し、別図2及び別図3のとおり当該インシデントに対処しなければならない。
4 CISOは、緊急を要するインシデントが発生した場合又は緊急を要するインシデントが発生することが想定される場合、当該インシデントに係る関連部署及び第18条第8項に定める情報システム緊急対応チームに対し、当該インシデントに関する初動体制としての緊急措置を講ずる全権を委任することができる。
5 CISOは、学外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講じなければならない。
6 CISOは、次条に規定する最高情報セキュリティ責任者補佐について、職務代行順位を定め、CISOに事故がある時又は不在時は、最高情報セキュリティ責任者補佐に、その職務を代行させるものとする。
(最高情報セキュリティ責任者補佐)
第17条 大学に、CISOを補佐するため、最高情報セキュリティ責任者補佐(以下「CISO補佐」という。)を置き、次の各号に掲げる者をもって充てる。
一 情報技術基盤を担当する情報基盤副センター長
二 CISOが指名する者 若干人
2 大学に、副最高情報セキュリティ責任者(以下「副CISO」という。)を置き、CISO補佐のうち、前条第6項の職務代行順位が第1位である者をもって充てる。
3 CISO補佐の任期は2年とし、重任、再任を妨げない。
(情報セキュリティ管理委員会)
第18条 大学に、情報セキュリティ管理委員会(以下「管理委員会」という。)を置く。
2 管理委員会に、委員長、副委員長及び委員を置き、CISOが指名する者をもって充てる。
3 前項の委員長、副委員長及び委員の任期は2年とし、重任、再任を妨げない。
4 第2項の委員の指名にあたっては、管理委員会委員長は、管理委員会の業務について適任者がいる場合は、CISOに推薦することができる。
5 監事、CISO及び国立大学法人東京科学大学情報セキュリティ監査規則(令和6年規則第71号)に定める情報セキュリティ監査委員会委員長は、管理委員会に陪席し、意見を述べることができる。
6 管理委員会は、次に掲げる業務を実施する。
一 この規則及びポリシーの改廃等の重要事項に係る検討及び関係部署との連絡調整
二 部局等における情報セキュリティに関する取組等の実施状況の把握
三 インシデントの予防対策及び再発防止策の検討及び策定
四 インシデントが発生した場合において、当該部局等と協働した迅速かつ円滑な対応に関する必要措置
五 特に緊急を要するインシデントが発生した場合又は発生することが想定される場合において、第16条第4項に基づきCISOから委任された初動体制としての緊急措置
六 その他情報セキュリティに関すること。
7 管理委員会は、必要に応じて部局等に対し改善命令を出すよう、CISOに勧告することができる。
8 管理委員会に、インシデントに関する情報収集、分析及び危機対応並びに各部局等に対する情報セキュリティに関する通知等を行うため、情報システム緊急対応チーム(Computer Emergency Response Team。以下「CERT」という。)を置く。
9 管理委員会は、必要に応じて、インフラ本部情報部門その他関係する委員会等へ、情報を共有する。
10 部局長等への意見聴取や周知が必要となる重要な案件については、CISOを通じ、役員会へ報告する。
11 前各項に定めるもののほか、管理委員会に関し必要な事項は、CISOが別に定める。
(CERT)
第19条 CERTは、情報資産を管理・運用し、及び利用する全ての者を対象として、次に掲げる業務を行う。
一 情報セキュリティに関する注意喚起又は各種通知等の業務
二 インシデント情報の集積及び分析
三 大学の情報資産に対する学内外からの侵害若しくは大学及び学外組織の情報資産に対して脅威を与える行為が発生した場合又はこれらの侵害若しくは脅威を与える行為が発生することが想定される場合の緊急対応
四 大学の情報資産に対する侵害を阻止し、又は大学及び学外組織の情報資産に対して脅威を与える行為を抑止するための予防対策
五 その他情報セキュリティ対策の実施に関すること。
2 CERTは、次に掲げる者をもって組織する。
一 統括責任者
二 情報セキュリティ及びそれに関連した専門的知識を有する情報部情報基盤課情報セキュリティ室(以下「情報セキュリティ室」という。)の職員 若干人
三 その他業務を遂行する上で統括責任者が適任と認める者 若干人
3 統括責任者は、CISOが指名する者をもって充て、CERTの業務を統括する。
4 統括責任者の任期は、2年とし、重任、再任を妨げない。
5 統括責任者は、第1項に定める業務の執行状況について、CISO及び管理委員会に定期的に報告しなければならない。
6 前各項に定めるもののほか、CERTの運営に関し必要な事項は、管理委員会が定める。
(委員会の庶務)
第20条 管理委員会の庶務は、情報セキュリティ室において処理する。
(部局等の組織体制)
第21条 各部局等は、実施手順の作成又は改訂等の重要事項の決定を行うとともに、重要事項に関する部局等内の関係部署との連絡調整並びに部局等内における実施手順の周知、啓蒙、教育等を円滑に行うため、別表のとおり組織体制を整備しなければならない。
(部局等情報セキュリティ最高責任者)
第22条 部局等に、部局等情報セキュリティ最高責任者を置き、別表に掲げる者をもって充てる。
2 部局等情報セキュリティ最高責任者は、部局等の情報セキュリティに関する全ての権限と責任を有する。
3 部局等情報セキュリティ最高責任者は、部局等の情報セキュリティに関する事項を統括する。
4 部局等に、部局等情報セキュリティ最高責任者を補佐するため、必要に応じて部局等情報セキュリティ最高責任者補佐を置き、部局等情報セキュリティ最高責任者が指名する者をもって充てる。
(部局等情報セキュリティ管理委員会)
第23条 部局等に、実施手順の承認又は改訂等の重要事項を決定し、及び重要事項に関する部局等内の関係部署との連絡調整を行うため、部局等情報セキュリティ管理委員会(以下「部局等管理委員会」という。)を置く。
2 部局等管理委員会は、次に掲げる者をもって組織する。
一 部局等情報セキュリティ最高責任者
二 部局等情報セキュリティ責任者
三 その他部局等情報セキュリティ最高責任者が指名する者
3 部局等管理委員会に、委員長を置き、部局等情報セキュリティ最高責任者をもって充てる。
4 部局等管理委員会に、必要に応じて副委員長を置き、委員長が指名する者をもって充てる。
5 部局等管理委員会は、管理委員会の依頼を受け、定期的に部局等内での情報セキュリティに関する取組等の実施状況について調査を行い、その結果について管理委員会に報告しなければならない。
(部局等情報セキュリティ責任者)
第24条 部局等内の当該部局等が定める範囲(以下「管理範囲」という。)ごとに、部局等情報セキュリティ責任者を置き、別表に掲げる者をもって充てる。ただし、部局等内において特別に認めた場合は、部局等情報セキュリティ責任者は、複数の管理範囲の責任者となることができる。
2 部局等情報セキュリティ責任者は、当該部局等の実施手順の周知、啓蒙及び教育等に関する責任を有するとともに、当該管理範囲の情報セキュリティに関する事項を統括する。
(部局等情報システム管理責任者)
第25条 部局等に、部局等のネットワークシステムを始めとする情報システムを管理するため、部局等情報システム管理責任者を置き、別表に掲げる者を持って充てる。
2 部局等情報システム管理責任者は、部局等のネットワークシステムをはじめとする情報システムに関する設定の変更、運用及び更新等の管理権限を有し、及び当該作業において取り扱う情報等に関し守秘義務を負う。
3 部局等情報システム管理責任者は、当該管理システムにおいてインシデントが発生した際は、管理委員会の指示に基づき、調査等に協力しなければならない。
(部局等情報システム管理担当者)
第26条 部局等情報システム管理責任者は、部局等のネットワークシステムをはじめとする情報システムを管理するため、部局等情報システム管理担当者を置く。ただし、部局等情報システム管理責任者が兼務することを妨げない。
2 部局等情報システム管理担当者は、部局等情報システム管理責任者の命に従い、システム管理作業を行う。
3 部局等情報システム管理担当者は、当該管理システムにおいてインシデントが発生した際は、部局等情報システム管理責任者の指示に基づき、調査等に協力しなければならない。
(部局等情報セキュリティ連絡担当者)
第27条 部局等内の管理範囲ごとに、部局等情報セキュリティ連絡担当者を置き、別表に掲げる者をもって充てる。ただし、部局等内において特別に認めた場合は、部局等情報セキュリティ連絡担当者は、複数の管理範囲の担当者となることができる。
2 部局等情報セキュリティ連絡担当者は、部局等情報セキュリティ責任者の指示のもと、当該部局等の実施手順の周知、啓蒙及び教育等に関する実務を担当する。
第4章 個人情報の取扱い
第28条 個人情報の取扱いに関しては、国立大学法人東京科学大学個人情報保護規程(令和6年規程第176号)及び国立大学法人東京科学大学個人情報管理細則(令和6年細則第69号)によるものとする。
第5章 情報危機管理体制
(管理体制)
第29条 大学は、別図2及び別図3のとおり大学及び学外組織の情報資産に対する侵害が発生した場合の連絡、証拠保全及び被害拡大の防止並びに復旧等の必要な措置を迅速かつ円滑に講じるとともに、再発防止のための必要な対策が講じられるよう、情報危機管理体制を整備しなければならない。
(連絡体制)
第30条 インシデントを認めた者は、速やかに部局等情報システム管理担当者及びCERTに連絡し、次に掲げる事項について報告しなければならない。
一 インシデントの内容
二 インシデントが発生した原因として想定される行為
三 確認した被害・影響範囲
四 その他連絡に必要な事項
2 部局等情報システム管理担当者は、前項の連絡を受け、速やかに当該インシデントが発生した情報資産を管理している部局等にその内容を報告しなければならない。
(対応体制)
第31条 インシデントが発生した情報資産を管理している部局等の部局等情報セキュリティ最高責任者は、当該インシデントを調査の上、侵害度及び被害度等の重大性を迅速に判断し、別図2のとおり適切に対処しなければならない。
(重大でないインシデント)
第32条 インシデントが重大でない場合には、当該情報資産を管理している部局等の部局等情報セキュリティ最高責任者は、当該管理部署の部局等情報システム管理責任者にインシデントに適切に対処するよう指示する。
2 前項の指示を受けた部局等情報システム管理責任者は、当該インシデントに適切に対処するとともに、その対処内容、対処結果等について次に掲げる者に報告する。
一 部局等情報セキュリティ最高責任者
二 部局等情報セキュリティ責任者
三 管理委員会又は情報セキュリティ室
3 前項の報告を受けた管理委員会又は情報セキュリティ室はCISOに報告するものとし、CISOは、情報セキュリティ室を通じ、当該インシデントについて文部科学省に報告するものとする。
(重大なインシデント)
第33条 インシデントが重大である場合には、当該インシデントが発生した情報資産を管理している部局等の部局等情報セキュリティ最高責任者は、当該部局等の部局等情報セキュリティ責任者に速やかに次に掲げる対処策を講じるよう指示を出さなければならない。
一 CISOへの連絡
二 当該インシデントの対処に緊急を要する場合において、当該情報システムの停止等の緊急措置
2 前項の指示を受けた部局等情報セキュリティ責任者は、直ちに対処策を講じなければならない。
3 CISOは、第1項の連絡を受け、必要な場合には対策本部を設置し、理事長に当該インシデントの内容と併せて報告するものとする。
4 CISOは、前項の対策本部の設置の有無について、当該部局等の部局等情報セキュリティ最高責任者にその結果を連絡するものとする。
(対策本部)
第34条 CISOは、当該インシデントが発生した情報資産を管理している部局等の部局等情報セキュリティ最高責任者からの連絡を受け、インシデントが重大なものと認め、必要と判断した場合には、別図3のとおり速やかに当該インシデントに対する対策本部(以下「対策本部」という。)を設置するものとする。
2 対策本部は、必要に応じ大学の顧問弁護士に意見を求めることができる。
3 対策本部は、必要に応じCERT及び情報セキュリティ監査委員会に協力を求めることができる。
4 対策本部は、次に掲げる者をもって組織する。
一 本部長 CISO
二 副本部長 情報化統括責任者(インフラを担当する理事)
CISOが指名する者
三 本部員 事務局長、当該インシデントに関わる部局等の部局等情報セキュリティ最高責任者、当該課・室長、当該部局等の部局等情報セキュリティ責任者、関連部課長、情報セキュリティ室長及びその他CISOが指名する者
5 対策本部は、当該インシデントが極めて重大であると判断した場合には、別に定める危機管理に関する規則(以下「危機管理規則」という。)に基づき、当該インシデントの処理に当たるものとする。この場合において、危機管理規則の対策本部が設置された場合は、これをもって第1項の対策本部が設置されたものとみなす。
6 対策本部は、当該インシデントに係る情報システムのアクセス記録及び現状に関する記録を保存する。
7 対策本部は、当該インシデントに対処した経過を記録する。
8 対策本部は、当該インシデントに係る証拠保全の実施を完了し、再発防止の暫定措置について検討する。
9 対策本部は、当該インシデントを調査し、次に掲げる関係部署にその調査結果について連絡する。
一 管理委員会
二 情報セキュリティ室
10 情報セキュリティ室は、前項の報告を受け、当該インシデントを文部科学省に報告する。
11 対策本部は、再発防止の暫定措置を講じた後には、情報システム等を速やかに復旧するための措置を講じるものする。
12 対策本部は、当該インシデントの事後対策案作成について管理委員会に勧告することができる。
13 管理委員会は、事後対策案を作成し、CISOの承認を得て、理事長に報告する。
14 理事長は、事後対策案に基づき、当該インシデントの事後対策について当該部局等に必要な措置を命ずるものとする。
15 本部長は、当該インシデントの対処終了をもって対策本部を解散する。
(再発防止の措置)
第35条 管理委員会は、当該インシデントに係るリスク分析を行い、実施手順及び各種セキュリティ対策の改善等の再発防止計画を策定し、CISOに報告しなければならない。
2 CISOは、再発防止計画が有効であると認める場合には、当該計画を実施する。
3 理事長は、再発防止のため必要と認める場合には、不正アクセス行為の禁止等に関する法律(平成11年法律128号)の規定に基づき、都道府県公安委員会に対し援助の申出を行うものとする。
第6章 罰則
第36条 CISOは、第3条に掲げる者が、具体的な命令や注意喚起に従わない場合、大学の情報セキュリティ水準を低下させると認められる行為を繰り返す場合又は情報セキュリティの確保に必要な対策を怠った場合は、情報システムの利用を停止する等の措置を講じるものとする。
2 前項の措置のほか、懲戒処分に該当するものについては、国立大学法人東京科学大学職員の懲戒等に関する規則(令和6年規則第66号)又は東京科学大学学生の懲戒等に関する規程(令和6年規程第122号)の定めるところによる。
第7章 雑則
第37条 この規則に定めるもののほか、大学の情報セキュリティに関し必要な事項は、管理委員会の議を経て理事長が定める。
附則
1 この規則は、令和6年10月1日から施行する。
2 次に掲げる規則及び規程は、廃止する。
一 国立大学法人東京工業大学情報セキュリティ規則(平成17年規則第32号)
二 国立大学法人東京医科歯科大学情報システム利用規則(令和2年8月4日制定)
三 国立大学法人東京医科歯科大学情報システム運用基本規程(平成21年規則第2号)
四 国立大学法人東京医科歯科大学情報セキュリティインシデント対応チーム設置規程(平成29年規程第5号)
3 この規則施行後、第17条第1項第2号の規定により最初にCISO補佐となる者の任期は、第17条第3項の規定にかかわらず、令和8年3月31日までとする。
4 この規則施行後、最初に管理委員会の委員長、副委員長及び委員となる者の任期は、第18条第3項の規定にかかわらず、令和8年3月31日までとする。
5 この規則施行後、最初にCERT統括責任者となる者の任期は、第19条第4項の規定にかかわらず、令和8年3月31日までとする。
別記 情報コンテンツの格付け及び取扱制限
情報コンテンツは、情報コンテンツの機密性、完全性及び可用性を踏まえ、その重要性に応じ部局等情報セキュリティ責任者の下で表1~3のように格付けする。また、必要に応じて取扱制限を決定する(表5)。格付け及び取扱制限を指定した場合には、それを認識できる方法を用いて明示等する。
なお、元の格付け又は取扱制限がその時点で不適当であり見直す必要がある場合は、その指定者或いは決定者と協議の上再度決定する。
表1 情報コンテンツの格付け(機密性)
格付け | 内容 |
機密性3情報 | 秘密保全の必要が高く、特定の者や部局等以外に公開することのできない情報コンテンツ。 例:構成員限り、関係者限りの資料等 |
機密性2情報 | 学外に公開することのできない情報コンテンツ |
機密性1情報 | 公表済みの情報、公表しても差し支えない情報、機密性3情報又は機密性2情報以外の情報 |
なお、機密性3情報及び機密性2情報を「要機密情報」という。
表2 情報コンテンツの格付け(完全性)
格付け | 内容 |
完全性2情報 | 改ざん、誤びゅう又は破損により、利用者の権利が侵害され又は大学の活動の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報(書面を除く。) |
完全性1情報 | 完全性2情報以外の情報(書面を除く。) |
なお、完全性2情報を「要保全情報」という。
表3 情報コンテンツの格付け(可用性)
格付け | 内容 |
可用性2情報 | 滅失、紛失又は当該情報が利用不可能であることにより、利用者の権利が侵害され又は大学の活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報(書面を除く。) |
可用性1情報 | 可用性2情報以外の情報(書面を除く。) |
なお、可用性2情報を「要安定情報」という。
また、「要機密情報」、「要保全情報」及び「要安定情報」を「要保護情報」という(表4)。
表4 要保護情報
情報コンテンツの種類 | 格付け | |
要保護情報 | 要機密情報 | 機密性3情報 機密性2情報 |
要保全情報 | 完全性2情報 | |
要安定情報 | 可用性2情報 |
表5 取扱制限の種類
取扱制限の種類 | 指定例 | |
機密性についての取扱制限 | 複製について | 複製禁止、複製要許可 |
配布について | 配布禁止、配布要許可 | |
暗号化について | 暗号化必須 (保存時暗号化必須、通信時暗号化必須等) | |
印刷について | 印刷禁止、印刷要許可 | |
転送について | 転送禁止、転送要許可 | |
転記について | 転記禁止、転記要許可 | |
再利用について | 再利用禁止、再利用要許可 | |
送信について | 送信禁止、送信要許可 | |
参照者の制限について | 構成員限り、関係者限り等 | |
完全性についての取扱制限 | 保存期間について | 別途定める期間まで保存 |
保存場所について | 施錠可能な机や書庫において保存 | |
書換えについて | 書換禁止、書換要許可 | |
削除について | 削除禁止、削除要許可 | |
保存期間満了後の措置について | 保存期間満了後要廃棄 | |
可用性についての取扱制限 | 復旧までに許容できる時間について | ○時間以内復旧、○日以内復旧 |
保存場所について | DVD、ブルーレイ等光学ディスクに保存、共有ファイルサーバ保存必須 |
別表 部局等における組織体制(第21条関係)
部局等 | 部局等情報セキュリティ最高責任者 | 部局等情報セキュリティ最高責任者補佐(任意) | 部局等情報セキュリティ責任者 | 部局等情報システム管理責任者 | 部局等情報システム管理担当者 | 部局等情報セキュリティ連絡担当者 |
学院 | 学院長 | 部局等情報セキュリティ最高責任者が指名する者 | 各系主任等 | 部局等情報セキュリティ責任者が指名する者 | 部局等システム管理責任者が指名する者 | 部局等情報セキュリティ責任者が指名する者 |
リベラルアーツ研究教育院 | 研究教育院長 | 部局等情報セキュリティ最高責任者が指名する者 | ||||
研究院 | 研究院長 | 各所長・各センター長等 | ||||
附属科学技術高等学校 | 校長 | 副校長 | ||||
各共通教育組織、各共通支援組織等 | 当該部局等の長等 | 当該部局等の長等 | ||||
医歯学系部局※ | CISO補佐のうち医学系部局に所属する者 | 部局等情報セキュリティ最高責任者が指名する者 | ||||
理事等支援組織 | 本部長 | 副本部長 | ||||
事務局 | 事務局長 | 課長・室長 | ||||
※国立大学法人東京科学大学組織運営規則(令和6年規則第1号)に規定する組織(事務局を除く。)のうち、湯島地区、駿河台地区及び国府台地区に位置するものをいう。
別図1 大学の情報セキュリティ組織体制
別図2 大学の情報危機管理体制:対応体制
別図3 大学の情報危機管理体制:対策本部
