序　教育情報セキュリティポリシーの構成

第1章　教育情報セキュリティ基本方針

1　目的

2　定義

3　対象とする脅威

4　適用範囲

5　教職員等の遵守義務

6　情報セキュリティ対策

7　情報セキュリティ監査及び自己点検の実施

8　教育情報セキュリティポリシーの見直し

9　教育情報セキュリティ対策基準の策定

10　教育情報セキュリティ実施手順の策定

第2章　教育情報セキュリティ対策基準

1　組織体制

2　情報資産の分類と管理

3　物理的セキュリティ

4　人的セキュリティ

5　技術的セキュリティ

6　運用

7　評価・見直し

附則

序　教育情報セキュリティポリシーの構成

教育情報セキュリティポリシーとは，湧水町立学校が所掌する情報資産に関する教育情報セキュリティ対策について，総合的，体系的かつ具体的に取りまとめたものを総称する。教育情報セキュリティポリシーは，本町立学校が所掌する情報資産に関する業務に携わるすべての教職員(教職員，臨時的任用講師，一般非常勤職員，会計年度任用職員等を含む「以下，教職員等」という。)に浸透させ，普及させ，及び定着させるものであり，安定的な規範であることが要請される。しかしながら一方では，技術の進歩に伴う教育情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要である。

このようなことから，教育情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策定することとした。

具体的には，教育情報セキュリティポリシーを，①教育情報セキュリティ基本方針及び②教育情報セキュリティ対策基準の2階層に分け，それぞれを策定することとする。また，教育情報セキュリティポリシーに基づき，情報システムごとの具体的な情報セキュリティ対策の実施手順は，必要に応じ策定することとする。

第1章　教育情報セキュリティ基本方針

1　目的

本基本方針は，本町立学校が保有する情報資産の機密性，完全性及び可用性を維持するため，本町立小中学校が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2　定義

(1)　ネットワーク

コンピュータ等を相互に接続するための通信網，その構成機器(ハードウェア及びソフトウェア)をいう。

(2)　情報システム

コンピュータ，ネットワーク及び電磁的記録媒体で構成され，情報処理を行う仕組みをいう。

(3)　情報セキュリティ

情報資産の機密性，完全性及び可用性を維持することをいう。

(4)　教育情報セキュリティポリシー

本基本方針及び教育情報セキュリティ対策基準をいう。

(5)　機密性

情報にアクセスすることを認められた者だけが，情報にアクセスできる状態を確保することをいう。

(6)　完全性

情報が破壊，改ざん又は消去されていない状態を確保することをいう。

(7)　可用性

情報にアクセスすることを認められた者が，必要なときに中断されることなく，情報にアクセスできる状態を確保することをいう。

(8)　校務接続系

児童・生徒，保護者，教職員の個人情報及び学校運営上の情報など，情報資産を取り扱うネットワークをいう。

(9)　学習接続系

児童・生徒が学習で利用するネットワークをいう。

3　対象とする脅威

情報資産に対する脅威として，以下の脅威を想定し，情報セキュリティ対策を実施する。

①　不正アクセス，ウイルス攻撃，サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去，重要情報の詐取，内部不正等

②　情報資産の無断持ち出し，無許可ソフトウェアの使用等の規定違反，設計・開発の不備，プログラム上の欠陥，操作・設定ミス，メンテナンス不備，監査機能の不備，外部委託管理の不備，マネジメントの欠陥，機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

③　地震，落雷，火災等の災害によるサービス及び業務の停止等

④　大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

⑤　電力供給の途絶，通信の途絶，水道供給の途絶等のインフラの障害からの波及等

4　適用範囲

(1)　教育機関の範囲

本基本方針は，教育委員会及び町立学校に適用する。

(2)　情報資産の範囲

①　ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体

②　ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

③　情報システムの仕様書及びネットワーク図等のシステム関連文書

5　教職員等の遵守義務

教職員等は，情報セキュリティの重要性について共通の認識を持ち，業務の遂行に当たっては教育情報セキュリティポリシー及び教育情報セキュリティ実施手順を遵守しなければならない。

6　情報セキュリティ対策

上記3の脅威から情報資産を保護するために，以下の情報セキュリティ対策を講じる。

(1)　組織体制

本町立学校の情報資産について，情報セキュリティ対策を推進する全庁的な組織体制を確立する。

(2)　情報資産の分類と管理

本町立学校の保有する情報資産を機密性，完全性及び可用性に応じて分類し，当該分類に基づき情報セキュリティ対策を行う。

(3)　情報システム全体の強靭性の向上

情報セキュリティの強化を目的とし，業務の効率性・利便性の観点を踏まえ，情報システム全体に対し，次の二段階の対策を講じる。

①　校内のネットワークは，校務接続系の業務用システムとの接続経路と，学習接続系の情報システムとの通信経路について，両経路間で通信が出来ないように技術的対策を講じて分離する。

②　校務接続系においては，不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。

(4)　物理的セキュリティ

サーバ，電算室，通信回線及び教職員等のパソコン等の管理について，物理的な対策を講じる。

(5)　人的セキュリティ

情報セキュリティに関し，教職員等が遵守すべき事項を定めるとともに，十分な教育及び啓発を行う等の人的な対策を講じる。

(6)　技術的セキュリティ

コンピュータ等の管理，アクセス制御，不正プログラム対策，不正アクセス対策等の技術的対策を講じる。

(7)　運用

教育情報セキュリティポリシーの遵守状況の確認，外部委託を行う際のセキュリティ確保等，教育情報セキュリティポリシーの運用面の対策を講じるものとする。

7　情報セキュリティ監査及び自己点検の実施

教育情報セキュリティポリシーの遵守状況を検証するため，定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

8　教育情報セキュリティポリシーの見直し

教育情報セキュリティ監査及び自己点検の結果，教育情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には，教育情報セキュリティポリシーを見直す。

9　教育情報セキュリティ対策基準の策定

上記6，7及び8に規定する対策等を実施するために，具体的な遵守事項及び判断基準等を定める教育情報セキュリティ対策基準を策定する。

10　教育情報セキュリティ実施手順の策定

教育情報セキュリティ対策基準に基づき，情報セキュリティ対策を実施するための具体的な手順を定めた教育情報セキュリティ実施手順を必要に応じて策定するものとする。

なお，教育情報セキュリティ実施手順は，公にすることにより本町立学校の学校運営に重大な支障を及ぼすおそれがあることから非公開とする。

第2章　教育情報セキュリティ対策基準

本対策基準は，教育情報セキュリティ基本方針を実行に移すための，本町立学校における情報資産に関する情報セキュリティ対策の基準を定めたものである。

1　組織体制

(1)　教育情報統括責任者(CIO：Chief　Information　Officer)

副町長を教育情報統括管理責任者とし，学校における全てのネットワークや情報システム等の情報資産の管理及び情報セキュリティ対策に関する統括的な権限及び責任を有する。

(2)　教育情報セキュリティ責任者(CISO：Chief　Information　Security　Officer，以下「CISO」という。)

教育長をCISOとし，本町立学校における全てのネットワーク，情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有するものとする。

(3)　統括教育情報セキュリティ責任者

①　教育総務課長をCISO直属の統括教育情報セキュリティ責任者とする。統括教育情報セキュリティ責任者はCISOを補佐しなければならない。

②　統括教育情報セキュリティ責任者は，本町立学校の全てのネットワークにおける開発，設定の変更，運用，見直し等を行う権限及び責任を有する。

③　統括教育情報セキュリティ責任者は，本町立学校の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。

④　統括教育情報セキュリティ責任者は，教育情報セキュリティ責任者，教育情報システム管理者及び教育情報システム担当者に対して，情報セキュリティに関する指導及び助言を行う権限を有する。

⑤　統括教育情報セキュリティ責任者は，本町立学校の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に，CISOの指示に従い，CISOが不在の場合には自らの判断に基づき，必要かつ十分な措置を行う権限及び責任を有する。

⑥　統括教育情報セキュリティ責任者は，本町立学校の共通的なネットワーク，情報システム及び情報資産に関する情報セキュリティの維持・管理を行う権限及び責任を有する。

⑦　統括教育情報セキュリティ責任者は，緊急時等の円滑な情報共有を図るため，CISO，統括教育情報セキュリティ責任者，教育情報セキュリティ責任者，教育情報システム管理者，教育情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。

⑧　統括教育情報セキュリティ責任者は，緊急時にはCISOに早急に報告を行うとともに，回復のための対策を講じなければならない。

⑨　統括教育情報セキュリティ責任者は，情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し，必要に応じてCISOにその内容を報告しなければならない。

(4)　教育情報セキュリティ責任者

①　各学校長を教育情報セキュリティ責任者とする。

②　教育情報セキュリティ責任者は，各学校の情報セキュリティ対策に関する権限及び責任を有する。

③　教育情報セキュリティ責任者は，学校において所有している情報システムにおける開発，設定の変更，運用の見直し等を行う統括的な権限及び責任を有する。

④　教育情報セキュリティ責任者は，学校において，情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には，統括情報セキュリティ責任者及びCISOへ速やかに報告を行い，指示を仰がなければならない。

⑤　教育情報セキュリティ責任者は，学校において所有している情報システムについて，緊急時等における連絡体制の整備，教育情報セキュリティポリシーの遵守に関する意見の集約並びに教職員等に対する教育，訓練，助言及び指示を行う。

(5)　教育情報システム管理者

①　教育総務課担当職員を当該情報システムに関する教育情報システム管理者とする。

②　教育情報システム管理者は，所管する情報システムにおける開発，設定の変更，運用の見直し等を行う権限及び責任を有する。

③　教育情報システム管理者は，所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

(6)　兼務の禁止

①　情報セキュリティ対策の実施において，やむを得ない場合を除き，承認又は許可の申請を行う者とその承認者又は許可者は，同じ者が兼務してはならない。

②　情報セキュリティ監査の実施において，やむを得ない場合を除き，監査を受ける者とその監査を実施する者は，同じ者が兼務してはならない。

2　情報資産の分類と管理

(1)　情報資産の分類

本町立学校における情報資産は，機密性，完全性及び可用性により次のとおり分類し，必要に応じて取扱制限を行うものとする。

機密性による情報資産の分類

完全性による情報資産の分類

可用性による情報資産の分類

(2)　情報資産の管理

①　管理責任

(ア)　教育情報セキュリティ責任者は，その所管する情報資産について管理責任を有する。

(イ)　情報資産が複製又は伝送された場合には，複製等された情報資産も(1)の分類に基づき管理しなければならない。

②　情報の作成

(ア)　教職員等は，業務上必要のない情報を作成してはならない。

(イ)　情報を作成する者は，情報の作成時に(1)の分類に基づき，当該情報の分類と取扱制限を定めなければならない。

(ウ)　情報を作成する者は，作成途上の情報についても，紛失や流出等を防止しなければならない。また，情報の作成途上で不要になった場合は，当該情報を消去しなければならない。

③　情報資産の入手

(ア)　学校内の者が作成した情報資産を入手した者は，入手元の情報資産の分類に基づいた取扱いをしなければならない。

(イ)　学校外の者が作成した情報資産を入手した者は，(1)の分類に基づき，当該情報の分類と取扱制限を定めなければならない。

(ウ)　情報資産を入手した者は，入手した情報資産の分類が不明な場合，教育情報セキュリティ責任者に判断を仰がなければならない。

④　情報資産の利用

(ア)　情報資産を利用する者は，業務以外の目的に情報資産を利用してはならない。

(イ)　情報資産を利用する者は，情報資産の分類に応じて，適正な取扱いをしなければならない。

(ウ)　情報資産を利用する者は，電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合，最高度の分類に従って，当該電磁的記録媒体を取り扱わなければならない。

⑤　情報資産の保管

(ア)　情報資産の分類に従って，情報資産を適切に保管しなければならない。

(イ)　情報資産を記録した電磁的記録媒体を長期保管する場合は，書込禁止の措置を講じなければならない。

(ウ)　利用頻度が低い電磁的記録媒体や情報システムのバックアップで取得したデータを記録する電磁的記録媒体を長期保管する場合は，自然災害を被る可能性が低い場所に保管しなければならない。

(エ)　機密性2以上，完全性2又は可用性2の情報を記録した電磁的記録媒体を保管する場合，耐火，耐熱，耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

⑥　情報の送信

電子メール等により機密性2以上の情報を送信する者は，必要に応じ暗号化又はパスワード設定を行わなければならない。

⑦　情報資産の運搬

(ア)　車両等により機密性2以上の情報資産を運搬する者は，暗号化又はパスワードの設定を行う等，情報資産の不正利用を防止するための措置を講じなければならない。

(イ)　機密性2以上の情報資産を運搬する者は，教育情報セキュリティ責任者に許可を得なければならない。

⑧　情報資産の提供・公表

(ア)　機密性2以上の情報資産を外部に提供する者は，必要に応じ暗号化又はパスワードの設定を行わなければならない。

(イ)　機密性2以上の情報資産を外部に提供する者は，教育情報セキュリティ責任者に許可を得なければならない。

⑨　情報資産の廃棄

(ア)　情報資産の廃棄行う者は，情報を記録している電磁的記録媒体が不要になった場合，記録されている情報の機密性に応じ，電磁的記録媒体の初期化等，情報を復元できないように処置した上で廃棄しなければならない。

(イ)　情報資産の廃棄を行う者は，行った処理について，日時，担当者及び処理内容を記録しなければならない。

(ウ)　情報資産の廃棄を行う者は，教育情報セキュリティ責任者の許可を得なければならない。

3　物理的セキュリティ

(1)　サーバ等の管理

①　機器の取付け

教育情報システム管理者は，サーバ等の機器の取付けを行う場合，火災，水害，埃，振動，温度，湿度等の影響を可能な限り排除した場所に設置し，容易に取り外せないよう適切に固定する等，必要な措置を講じなければならない。

②　サーバの冗長化

(ア)　教育情報システム管理者は，ネットワーク接続認証情報を格納しているサーバを冗長化し，メインサーバに障害が発生した場合でもセカンダリサーバで運用を継続出来るように対策を講じなければならない。

(イ)　教育情報システム管理者は，メインサーバに障害が発生した場合に，速やかにセカンダリサーバを起動し，システムの運用停止時間を最小限にしなければならない。

③　機器の電源

(ア)　教育情報システム管理者は，統括教育情報セキュリティ責任者及び施設管理部門と連携し，サーバ等の機器の電源について，停電等による電源供給の停止に備え，当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

(イ)　教育情報システム管理者は，統括教育情報セキュリティ責任者及び施設管理部門と連携し，落雷等による過電流に対して，サーバ等の機器を保護するための措置を講じなければならない。

④　通信ケーブル等の配線

(ア)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，施設管理部門と連携し，通信ケーブル及び電源ケーブルの損傷等を防止するために，配線収納管を使用する等必要な措置を講じなければならない。

(イ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，主要な箇所の通信ケーブル及び電源ケーブルについて，施設管理部門から損傷等の報告があった場合，連携して対応しなければならない。

(ウ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適切に管理しなければならない。

(エ)　統括教育情報セキュリティ責任者，教育情報システム管理者は，自ら又は教育情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更，追加できないように必要な措置を施さなければならない。

⑤　機器の定期保守及び修理

(ア)　教育情報システム管理者は，可用性2のサーバ等の機器の定期保守を実施しなければならない。

(イ)　教育情報システム管理者は，電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合，内容を消去した状態で行わせなければならない。内容を消去できない場合，教育情報システム管理者は，外部の事業者に故障を修理させるにあたり，修理を委託する事業者との間で，守秘義務契約を締結するほか，秘密保持体制の確認などを行わなければならない。

⑥　機器の廃棄等

教育情報システム管理者は，機器を廃棄，リース返却等をする場合，機器内部の記憶装置から全ての情報を消去の上，復元不可能な状態にする措置を講じなければならない。

(2)　管理区域の管理

①　管理区域の構造等

(ア)　管理区域とは，ネットワークの基幹機器及び重要な情報システムを設置し，当該機器等の管理及び運用を行うための部屋や電磁的記録媒体の保管庫をいう。

(イ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，管理区域を地階又は1階に設けてはならない。

(ウ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，施設管理部門と連携して，管理区域から外部に通ずるドアは必要最小限とし，鍵，監視機能，警報装置等によって許可されていない立入りを防止しなければならない。

(エ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，管理区域内の機器等に転倒及び落下防止等の耐震対策，防火措置，防水措置等を講じなければならない。

②　管理区域の入退室管理等

(ア)　教育情報システム管理者は，管理区域への入退室を許可された者のみに制限し，入退室管理簿の記載による入退室管理を行わなければならない。

(イ)　教職員等及び外部委託事業者は，管理区域に入室する場合，身分証明書等を携帯し，求めにより提示しなければならない。

(ウ)　教育情報システム管理者は，外部からの訪問者が管理区域に入る場合には，必要に応じて立ち入り区域を制限した上で，管理区域への入退室を許可された教職員等が付き添うものとし，外見上教職員等と区別できる措置を講じなければならない。

③　機器等の搬入出

(ア)　教育情報システム管理者は，管理区域に搬入する機器等が既存の情報システムに与える影響について，あらかじめ職員，教職員又は委託した業者に確認を行わせなければならない。

(イ)　教育情報システム管理者は，管理区域の機器等の搬入出について，職員又は教職員を立ち会わせなければならない。

(3)　通信回線及び通信回線装置の管理

①　統括教育情報セキュリティ責任者は，学校及び吉松庁舎電算室内の通信回線及び通信回線装置を施設管理部門と連携し，適切に管理しなければならない。また，通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

②　統括教育情報セキュリティ責任者は，機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合，必要なセキュリティ水準を検討の上，適切な回線を選択しなければならない。

③　統括教育情報セキュリティ責任者は，ネットワークに使用する回線について，伝送途上に情報が破壊，盗聴，改ざん，消去等が生じないように十分なセキュリティ対策を実施しなければならない。

④　統括教育情報セキュリティ責任者は，可用性2の情報を取り扱う情報システムが接続される通信回線について，継続的な運用を可能とする回線を選択しなければならない。また，必要に応じ，回線を冗長構成にする等の措置を講じなければならない。

(3)　教職員等の利用する端末や電磁的記録媒体等の管理

①　教育情報セキュリティ責任者は，教職員等で利用するパソコン等の機器及び電磁的記録媒体について，盗難防止のための必要な措置を講じなければならない。また，電磁的記録媒体については，情報が必要とされなくなった時点で速やかに記録した情報を消去しなければならない。

②　教育情報システム管理者は，情報システムへのログインパスワードの入力を必要とするように設定しなければならない。

③　教育情報システム管理者は，取り扱う情報の重要度に応じてパスワード以外に生体認証等の二要素認証を併用しなければならない。

④　教育情報システム管理者は，パソコン端末等におけるデータの暗号化等の機能を有効に利用しなければならない。

4　人的セキュリティ

(1)　教職員等の遵守事項

①　教職員等の遵守事項

(ア)　教育情報セキュリティポリシー等の遵守

教職員等は，教育情報セキュリティポリシー及び実施手順を遵守しなければならない。また，情報セキュリティ対策について不明な点，遵守することが困難な点等がある場合は，速やかに教育情報セキュリティ責任者に相談し，指示を仰がなければならない。

(イ)　業務以外の目的での使用の禁止

教職員等は，業務以外の目的で情報資産の外部への持ち出し，情報システムへのアクセス，電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

(ウ)　パソコン端末や電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限

教職員等は，本町立小中学校のパソコン端末，電磁的記録媒体，情報資産及びソフトウェアを外部に持ち出す場合や外部で情報処理業務を行う場合には，教育情報セキュリティ責任者の許可を得なければならない。

(エ)　支給以外のパソコン端末及び電磁的記録媒体等の業務利用

教職員等は，支給以外のパソコン端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし，業務上必要な場合は，教育情報セキュリティ責任者の許可を得て利用することができる。なお，当該パソコンを外部へ持ち出す際も教育情報セキュリティ責任者の許可を要するものとする。

(オ)　持ち出し及び持ち込みの記録

教育情報セキュリティ責任者は，端末等の持ち出し及び持ち込みについて，記録を作成し，保管しなければならない。

(カ)　パソコン端末におけるセキュリティ設定変更の禁止

教職員等は，パソコン端末のソフトウェアに関するセキュリティ機能の設定を教育情報システム管理者の許可なく変更してはならない。

(キ)　机上の端末等の管理

教職員等は，パソコン端末，電磁的記録媒体及びそれらの情報が印刷された文書等について，第三者に使用されること又は教育情報セキュリティ責任者の許可なく情報を閲覧されることがないように，離席時のパソコン端末のロックや電磁的記録媒体，文書等の容易に閲覧されない場所への保管等，適切な措置を講じなければならない。

(ク)　退職時等の遵守事項

教職員等は，異動，退職等により業務を離れる場合には，利用していた情報資産を返却しなければならない。また，その後も業務上知り得た情報を漏らしてはならない。

②　臨時的任用講師，一般非常勤職員，会計年度任用職員等への対応

(ア)　教育情報セキュリティポリシー等の遵守

教育情報セキュリティ管理者は，臨時的任用講師，一般非常勤職員，会計年度任用職員等に対し，採用時に教育情報セキュリティポリシー等のうち，臨時的任用講師，一般非常勤職員，会計年度任用職員等が守るべき内容を理解させ，また実施及び遵守させなければならない。

(イ)　教育情報セキュリティポリシー等の遵守に対する同意

教育情報セキュリティ責任者は，臨時的任用講師，一般非常勤職員，会計年度任用職員等の採用の際，必要に応じ，教育情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。

(ウ)　インターネット接続及び電子メール使用等の制限

教育情報セキュリティ管理者は，臨時的任用講師，一般非常勤職員，会計年度任用職員等にパソコンやモバイル端末による作業を行わせる場合において，インターネットへの接続及び電子メールの使用等が不要の場合，これを利用できないようにしなければならない。

③　教育情報セキュリティポリシー等の掲示

教育情報セキュリティ責任者は，教職員等が常に教育情報セキュリティポリシーを閲覧できるように掲示しなければならない。

④　外部委託事業者に対する説明

教育情報システム管理者は，ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合，外部委託事業者から再委託を受ける事業者も含めて，教育情報セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

(2)　研修・訓練

①　CISOは，定期的に情報セキュリティに関する研修等を実施しなければならない。

②　研修計画については，教職員等が定期的に情報セキュリティ研修を受講できるようにしなければならない。

③　研修は，統括教育情報セキュリティ責任者，教育情報セキュリティ責任者，教育情報セキュリティ管理者，教育情報システム管理者，教育情報システム担当者及びその他教職員等に対して，それぞれの役割，情報セキュリティに関する理解度等に応じたものにしなければならない。

④　CISOは，緊急時対応を想定した確認を定期的に実施しなければならない。

(3)　情報セキュリティインシデントの報告

①　教職員等は，情報セキュリティインシデントを認知した場合，速やかに教育情報セキュリティ責任者に報告し，報告を受けた教育情報セキュリティ責任者は，統括教育情報セキュリティ責任者及び必要に応じてCISOに報告しなければならない。

②　教職員等は，学校関係者等外部から情報セキュリティインシデントについての報告を受けた場合は，教育情報セキュリティ責任者及び統括教育情報セキュリティ責任者を経由して，CISOに報告しなければならない。

③　統括教育情報セキュリティ責任者は，報告のあった情報セキュリティインシデントについて，原因を究明し，記録を保存しなければならない。また，究明した原因により再発防止策を検討し，CISOに報告しなければならない。

④　CISOは，統括教育情報セキュリティ責任者から報告された再発防止策について，実施するために必要な措置を指示しなければならない。

(4)　ID及びパスワード等の管理

①　IDの取扱い

(ア)　自己が利用しているIDは，他人に利用させてはならない。

(イ)　共用IDを利用する場合は，共用IDの利用者以外に利用させてはならない。

②　パスワードの取扱い

(ア)　パスワードは，他者に知られないように管理しなければならない。

(イ)　IDに使用されるパスワードは，流出時に教育情報セキュリティ責任者へ報告しなければならない。

(ウ)　IDに使用されるパスワードは，パソコン等の端末に記憶させてはならない。

5　技術的セキュリティ

(1)　コンピュータ及びネットワークの管理

①　文書サーバの設定等

(ア)　教育情報システム管理者は，文書サーバを学校の単位で構成し，教職員等が他の学校のフォルダ及びファイルを閲覧及び使用できないように設定しなければならない。

(イ)　教育情報システム管理者は，人事記録等，特定の教職員等しか取扱えないデータについて，別途ディレクトリを作成する等の措置を講じ，同一学校等であっても校長教頭以外の教職員等が閲覧及び使用できないようにしなければならない。

②　バックアップの実施

統括教育情報セキュリティ責任者及び教育情報システム管理者は，ファイルサーバ等に記録された情報について，サーバの冗長化対策に関わらず必要に応じて定期的にバックアップを実施しなければならない。

③　情報システム仕様書等の管理

統括教育情報セキュリティ責任者及び教育情報システム管理者は，ネットワーク構成図，情報システム仕様書について，記録媒体に関わらず，業務上必要とする者以外の者が閲覧したり，紛失等があったりしないよう，適切に管理しなければならない。

④　ログの取得等

(ア)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，各種ログ及び情報セキュリティの確保に必要な記録を取得し，一定の期間保存しなければならない。

(イ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，取得したログを定期的に点検又は分析する機能を設け，必要に応じて悪意ある第三者等からの不正侵入，不正操作等の有無について点検又は分析を実施しなければならない。

⑤　ネットワークの接続制御，経路制御等

(ア)　統括教育情報セキュリティ責任者は，フィルタリング及びルーティングについて，設定の不整合が発生しないようにファイアウォール，ルータ等の通信ソフトウェア等を設定しなければならない。

(イ)　統括教育情報セキュリティ責任者は，不正アクセスを防止するため，ネットワークに適切なアクセス制御を施さなければならない。

⑥　外部ネットワークとの接続制限等

(ア)　教育情報システム管理者は，所管するネットワークを外部ネットワークと接続しようとする場合には，CISO及び統括教育情報セキュリティ責任者の許可を得なければならない。

(イ)　教育情報システム管理者は，接続をしようとする外部ネットワークに係るネットワーク構成，機器構成，セキュリティ技術等を詳細に調査し，学校の全てのネットワーク，情報システム等の情報資産に影響が生じないことを確認しなければならない。

(ウ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，ウェブサーバ等をインターネットに公開する場合，学校内ネットワークへの侵入を防御するために，ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

(エ)　教育情報システム管理者は，接続した外部ネットワークのセキュリティに問題が認められ，情報資産に脅威が生じることが想定される場合には，統括教育情報セキュリティ責任者の判断に従い，速やかに当該外部ネットワークを物理的に遮断しなければならない。

⑦　電子メールの利用制限

(ア)　教職員等は，業務上必要のない送信先に電子メールを送信してはならない。

(イ)　教職員等は，複数人に電子メールを送信する場合，必要がある場合を除き他の送信先の電子メールアドレスが分からないようにしなければならない。

(ウ)　教職員等は，重要な電子メールを誤送信した場合，教育情報セキュリティ責任者に報告しなければならない。

⑧　無許可ソフトウェアの導入等の禁止

(ア)　統括教育情報セキュリティ責任者は，パソコン端末に無断でソフトウェアを導入できないよう制限しなければならない。

(イ)　教育情報システム管理者は，新たなソフトウェアを導入した場合は，ソフトウェアのライセンスを管理しなければならない。

(ウ)　教職員等は，不正にコピーしたソフトウェアを利用してはならない。

⑨　機器構成の変更の制限

(ア)　教職員等は，パソコン端末に対し機器の改造及び増設・交換を行ってはならない。

(イ)　教職員等は，業務上，パソコン端末に対し機器の改造及び増設・交換を行う必要がある場合には，統括教育情報セキュリティ責任者及び教育情報システム管理者の許可を得なければならない。

⑩　無許可でのネットワーク接続の禁止教職員等は，統括教育情報セキュリティ責任者の許可なくパソコン端末を外部のネットワークに接続してはならない。

⑪　業務以外の目的でのウェブ閲覧の禁止

(ア)　教職員等は，業務以外の目的でウェブを閲覧してはならない。

(イ)　統括教育情報セキュリティ責任者は，教職員等のウェブ利用について，明らかに業務に関係のないサイトを閲覧していることを発見した場合は，教育情報セキュリティ責任者に通知し適切な措置を求めなければならない。

(2)　アクセス制御

①　アクセス制御等

(ア)　アクセス制御

統括教育情報セキュリティ責任者又は教育情報システム管理者は，所管するネットワーク又は情報システムごとにアクセスする権限のない教職員等がアクセスできないように，システム上制限しなければならない。

(イ)　利用者IDの取扱い

統括教育情報セキュリティ責任者及び教育情報システム管理者は，利用者の登録，変更，抹消等の情報管理，職員等の異動，出向，退職者に伴う利用者IDの取扱いなど人事管理部門と連携し，点検を行わなければならない。

(ウ)　管理者権限を付与されたIDの管理等

統括教育情報セキュリティ責任者及び教育情報システム管理者は，管理者権限等の特権を付与されたIDを利用する者を必要最小限にし，当該IDのパスワードの漏えい等が発生しないよう，当該ID及びパスワードを厳重に管理しなければならない。

②　自動識別の設定

統括教育情報セキュリティ責任者及び教育情報システム管理者は，ネットワークで使用される機器について，IPアドレスによって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。

③　認証情報の管理

統括教育情報セキュリティ責任者又は教育情報システム管理者は，教職員等に対してパスワードを発行する場合は，仮のパスワードを発行し，ログイン後直ちに仮のパスワードを変更させなければならない。

(3)　システム開発，導入，保守等

①　情報システムの調達

(ア)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，情報システム開発，導入，保守等の調達に当たっては，調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(イ)　統括教育情報セキュリティ責任者及び教育情報システム管理者は，機器及びソフトウェアの調達に当たっては，当該製品のセキュリティ機能を調査し，情報セキュリティ上問題のないことを確認しなければならない。

②　情報システムの開発

(ア)　システム開発における責任者及び作業者の特定教育情報システム管理者は，システム開発の責任者及び作業者を特定しなければならない。

(イ)　システム開発における責任者，作業者のIDの管理教育情報システム管理者は，システム開発の責任者及び作業者が使用するIDを管理し，開発完了後，開発用IDを削除しなければならない。

(ウ)　システム開発に用いるハードウェア及びソフトウェアの管理教育情報システム管理者は，システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

③　情報システムの導入

(ア)　開発環境と運用環境の分離

教育情報システム管理者は，システム開発，保守及びテスト環境とシステム運用環境を可能な限り分離しなければならない。

(イ)　移行手順の明確化

教育情報システム管理者は，システム開発・保守及びテスト環境からシステム運用環境への移行について，システム開発・保守計画の策定時に手順を明確にしなければならない。

(ウ)　テスト

教育情報システム管理者は，新たに情報システムを導入する場合，既に稼働している情報システムに接続する前に十分な試験を行わなければならない。また，その際に，個人情報及び機密性の高い生データをテストデータとして使用してはならない。

④　システム開発・保守に関連する資料等の整備・保管

教育情報システム管理者は，システム開発・保守に関連する資料及びシステム関連文書を適切に整備・保管しなければならない。

⑤　情報システムの変更管理

教育情報システム管理者は，情報システムを変更した場合，プログラム仕様書等の変更履歴を作成しなければならない。

⑥　開発・保守用のソフトウェアの更新等

教育情報システム管理者は，開発・保守用のソフトウェア等を更新又はパッチの適用をする場合，他の情報システムとの整合性を確認しなければならない。

(4)　不正プログラム対策

①　統括教育情報セキュリティ責任者の措置事項

統括教育情報セキュリティ責任者は，不正プログラム対策として，次の事項を措置しなければならない。

(ア)　外部ネットワークから受信したファイルは，インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い，不正プログラムのシステムへの侵入を防止しなければならない。

(イ)　外部ネットワークに送信するファイルは，インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い，不正プログラムの外部への拡散を防止しなければならない。

(ウ)　コンピュータウイルス等の不正プログラム情報を収集し，必要に応じ教職員等に対して注意喚起しなければならない。

②　教育情報システム管理者の措置事項

教育情報システム管理者は，不正プログラム対策に関し，次の事項を措置しなければならない。

(ア)　教育情報システム管理者は，その所掌するサーバ及びパソコン等の端末に，コンピュータウイルス等の不正プログラム対策ソフトウェアをシステムに常駐させなければならない。

(イ)　不正プログラム対策ソフトウェア及びそのパターンファイルは，常に最新の状態に保たなければならない。

(ウ)　インターネットに接続していないシステムにおいて，電磁的記録媒体を使う場合，コンピュータウイルス等の感染を防止するために，本町立学校が管理している媒体以外を教職員等に利用させてはならない。

③　教職員等の遵守事項

教職員等は，不正プログラム対策に関し，次の事項を遵守しなければならない。

(ア)　パソコン端末において，不正プログラム対策ソフトウェアが導入されている場合は，当該ソフトウェアの設定を変更してはならない。

(イ)　外部からデータ又はソフトウェアを取り入れる場合には，必ず不正プログラム対策ソフトウェアによるチェックを行わなければならない。

(ウ)　差出人が不明又は不自然に添付されたファイルを受信した場合は，速やかに削除しなければならない。

(エ)　添付ファイルが付いた電子メールを送受信する場合には，不正プログラム対策ソフトウェアでチェックを行わなければならない。

(オ)　コンピュータウイルスの不正プログラムに感染した場合又は感染が疑われる場合は，被害の拡大を防ぐ処置を慎重に検討し，該当の端末においてLANケーブルの取り外しや，通信を行わない設定への変更などを実施しなければならない。

(5)　不正アクセス対策

①　攻撃への対処

CISO及び統括教育情報セキュリティ責任者は，サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は，システムの停止を含む必要な措置を講じなければならない。また，文科省，都道府県，本町等と連絡を密にして情報の収集に努めなければならない。

②　記録の保存

CISO及び統括教育情報セキュリティ責任者は，サーバ等に攻撃を受け，当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には，攻撃の記録を保存するとともに，警察及び関係機関との緊密な連携に努めなければならない。

③　教職員等による不正アクセス

統括教育情報セキュリティ責任者及び教育情報システム管理者は，教職員等による不正アクセスを発見した場合は，当該教職員等が所属する学校の教育情報セキュリティ責任者に通知し，適切な処置を求めなければならない。

④　標的型攻撃

統括教育情報セキュリティ責任者及び教育情報システム管理者は，情報システムにおいて，標的型攻撃による内部への侵入を防止するために，人的対策や入口対策を講じなければならない。また，内部に侵入した攻撃を早期検知して対処するために，通信をチェックする等の内部対策を講じなければならない。

6　運用

(1)　情報システムの確認

①　統括教育情報セキュリティ責任者及び教育情報システム管理者は，セキュリティに関する事案を検知するため，情報システムを定期的に確認しなければならない。

②　統括教育情報セキュリティ責任者及び教育情報システム管理者は，重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

③　統括教育情報セキュリティ責任者及び教育情報システム管理者は，外部と常時接続するシステムを定期的に確認しなければならない。

(2)　教育情報セキュリティポリシーの遵守状況の確認

①　遵守状況の確認及び対処

教育情報セキュリティ責任者は，教育情報セキュリティポリシーの遵守状況について確認を行い，問題を認めた場合には，速やかにCISO及び統括教育情報セキュリティ責任者に報告しなければならない。

②　パソコン端末及び電磁的記録媒体等の利用状況調査

統括教育情報セキュリティ責任者は，不正アクセス，不正プログラム等の調査のために，教職員等が使用しているパソコン端末及び電磁的記録媒体等のログ，電子メールの送受信記録等の利用状況を調査することができる。

③　教職員等の報告義務

教職員等は，教育情報セキュリティポリシーに対する違反行為を発見した場合，直ちに統括教育情報セキュリティ責任者及び教育情報セキュリティ責任者に報告を行わなければならない。

(3)　侵害時の対応等

CISOは，情報セキュリティインシデント，教育情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において，連絡，証拠保全，被害拡大の防止，復旧，再発防止等の措置を迅速かつ適切に実施するために，緊急時対応計画を定めておき，当該計画に従って適切に対処しなければならない。

(4)　例外措置

①　例外措置の許可

教育情報セキュリティ責任者及び教育情報システム管理者は，情報セキュリティ関係規定を遵守することが困難な状況で，校務の適正な遂行を継続するため，遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合には，CISOの許可を得て，例外措置を取ることができる。

②　緊急時の例外措置

教育情報セキュリティ責任者及び教育情報システム管理者は，校務の遂行に緊急を要する等の場合であって，例外措置を実施することが不可避のときは，事後速やかにCISOに報告しなければならない。

(5)　法令遵守

教職員等は，職務の遂行において使用する情報資産を保護するために，次の法令のほか関係法令を遵守し，これに従わなければならない。

①　地方公務員法(昭和25年法律第261号)

②　著作権法(昭和45年法律第48号)

③　不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

④　個人情報の保護に関する法律(平成15年法律第57号)

(6)　懲戒処分等

①　懲戒処分

教育情報セキュリティポリシーに違反した職員等及びその監督責任者は，その重大性，発生した事案の状況等に応じて，地方公務員法による懲戒処分の対象とする。

②　違反時の対応

教職員等の教育情報セキュリティポリシーに違反する行動を確認した場合には，速やかに次の措置を講じなければならない。

(ア)　統括教育情報セキュリティ責任者が違反を確認した場合は，統括教育情報セキュリティ責任者は当該教職員等が所属する学校の教育情報セキュリティ責任者に通知し，適切な措置を求めなければならない。

(イ)　教育情報システム管理者等が違反を確認した場合は，違反を確認した者は速やかに統括教育情報セキュリティ責任者及び当該教職員等が所属する学校の教育情報セキュリティ責任者に通知し，適切な措置を求めなければならない。

(ウ)　教育情報セキュリティ責任者の指導によっても改善されない場合，統括教育情報セキュリティ責任者は，当該教職員等のネットワーク又は情報システムを使用する権利を停止あるいは剥奪することができる。その後速やかに，統括教育情報セキュリティ責任者は，教職員等の権利を停止あるいは剥奪した旨をCISO及び当該教職員等が所属する学校の教育情報セキュリティ責任者に通知しなければならない。

7　評価・見直し

(1)　監査

CISOは，教育情報セキュリティ監査統括責任者を指名し，ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について，必要に応じて監査を行わせなければならない。

(2)　自己点検

教育情報セキュリティ責任者及び教育情報システム管理者は，所管するネットワーク及び情報システムについて，必要に応じて自己点検を実施しなければならない。

附則