2　監査委員会に、委員長及び委員を置き、最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)が指名する者をもって充てる。

3　委員長及び委員の任期は2年とし、重任、再任を妨げない。

4　第2項の委員の指名にあたっては、委員長は、監査委員会の業務について適任者がいる場合には、CISOに推薦することができる。

5　第2項の委員には、少なくとも2人以上の学外委員を含むものとする。

6　監事及びCISOは監査委員会に陪席し、意見を述べることができる。

7　監査委員会は、次に掲げる事項について、監査を行う。

8　前項の監査に当たっては、監査委員会は点検事項を作成し、各部局等へ事前の点検を行うよう通知するものとする。

9　監査委員会は、各部局等の監査結果に基づき、ポリシー、セキュリティ規則及び実施手順等の実施状況が不十分であると判断した場合は、CISOに当該部局等に対し改善命令を出すよう勧告するものとする。

10　監査委員会は、各部局等の監査結果を踏まえ、ポリシー、セキュリティ規則及び実施手順等の改廃等が必要と判断した場合は、CISOの承認を得て、ポリシー、セキュリティ規則及び実施手順等の見直しを情報セキュリティ管理委員会(以下「管理委員会」という。)に勧告することができる。

11　監査委員会は、監査業務の一部又は全部を外部の事業者に委託することができる。この場合において、監査委員会は、CISOの承認を得て、事業者を選定しなければならない。

12　前各項に定めるもののほか、監査委員会に関し必要な事項は、CISOが別に定める。

2　監査責任者及び監査担当者は、独立して公正な監査を行うため、監査を受ける部局等(以下「被監査部門」という。)における業務との関連性を考慮の上、委員長が選考し、指名する。

2　委員長は、情報セキュリティの状況の変化に応じて必要と判断した場合は、監査責任者に対して、監査計画で計画された事項以外の監査の実施を指示する。

2　監査実施チームは、被監査部門に対して、監査実施上必要なもの一切の提出を求めるとともに、監査に必要な説明を求めることができる。

3　被監査部門は、前項の要求を正当な理由なく拒むことができない。

4　第2項の要求を拒む場合、被監査部門は、その理由を記載した書面を委員長に提出し、承認を得なければならない。

5　第1項の監査にあたっては、委員会は点検事項を作成し、各部局等へ事前の点検を行うよう通知するものとする。

6　監査実施チームは、監査を実施したときは、当該監査の記録を取りまとめた監査調書を作成するものとする。

7　監査実施チームは、監査を実施するにあたり、被監査部門の日常業務を著しく妨げることのないように配慮しなければならない。

8　監査実施チームは、監査終了後、その結果について被監査部門に説明、提示を行い、認識合せを行う。

9　監査実施上知り得た事項を、正当な理由なく他に漏らし、又は自己のために窃用してはならない。

10　監査責任者は、監査調書に基づき監査実施報告書を作成し、委員長へ提出する。

2　委員長は、前項の規定により、監査実施報告書を承認したときは、監査報告書を作成し、CISOへ提出するものとする。なお、監査報告書には、委員長は、委員会における監査結果への指摘事項その他の意見を取りまとめた総評を付すものとする。

3　CISOは、監査報告書に基づき、ポリシー、セキュリティ規則及び実施手順等に定める事項の実施状況が不十分であると判断した場合は、当該部局等に対し改善命令を出すものとする。

4　委員会は、監査の結果を踏まえ、当該被監査部門以外の部局等においても同種の課題及び問題点がある可能性が高く、かつ、緊急に当該課題等の確認が必要と判断した場合には、CISOの承認を得て、管理委員会に対し、当該課題等への対応、ポリシー、セキュリティ規則及び実施手順等の見直し等の必要性について審議するよう、勧告するものとする。

5　部局等情報セキュリティ最高責任者は、監査報告書に基づいてCISOから改善を指示された事案について、対応計画を作成し、報告する。

6　監査責任者は、委員長の承認の下、監査の指摘事項に対する改善状況を確認するため、被監査部門と実施時期を調整の上、フォローアップ監査を実施する。

1　この規則は、令和6年10月1日から施行する。

2　次に掲げる規則及び規程は、廃止する。

3　この規則施行後、最初に監査委員会の委員長及び委員となる者の任期は、第3条第3項の規定にかかわらず、令和8年3月31日までとする。)の定めるところによる。