情報セキュリティについて

情報セキュリティ基本方針

放送大学学園情報セキュリティポリシー基本方針

令和3年6月23日
情報戦略本部決定

1.目的

放送大学学園(以下「本学園」という。)における教育・研究活動及び業務には、情報基盤の充実に加え、情報資産のセキュリティ確保が不可欠である。
そのため、必要な方針を明文化した放送大学学園情報セキュリティポリシー(以下、「ポリシー」という。)を定め、情報管理体制を構築するものとする。
本ポリシーが目指すものは次のとおりである。

  • 本学園保有の情報資産に関する、重要度による分類と相応の管理の徹底

  • 本学園保有の情報資産に対する侵害からの防衛

  • 本学園内外の情報資産に対する加害行為の防止

  • 本学園内におけるセキュリティ侵害等の早期検出と迅速な対応の実現

2.ポリシーの構成と位置付け

本ポリシーは、本学園の情報セキュリティに関する方針を総合的に取りまとめたものであり、以下の3つの階層に分けて規定する。

2-1.基本方針

本学園の情報セキュリティ対策の目的や原則を定めたもの。

2-2.対策基準

基本方針を受け、項目ごとに遵守すべき事項を記述したもの。

2-3.実施手順

対策基準の具体的な実施手順を記述したもの。

3.ポリシーの対象範囲

本ポリシーが対象とする対象者及び対象物は以下のとおりである。

3-1.対象者

役員、職員(事務職員、技術職員、教育職員、期間業務職員及び時間雇用職員をいい、派遣職員を含む)、学生(全科履修生、選科履修生、科目履修生、集中科目履修生、修士全科生、修士選科生、修士科目生、博士全科生及び特別聴講学生をいい、共修生を含む)、その他本学園保有の情報資産に対するアクセスを認められている者。

3-2.対象物

本学園が保有する全ての情報資産。 情報資産は情報コンテンツと情報システムを指す。
情報コンテンツは、本学園が管理・運用する全ての情報であり、それを表現する媒体(磁気的媒体、光学的媒体、紙媒体など)の種類を問わない。
情報システムは、情報コンテンツを扱うシステムであり、情報の処理、蓄積及び通信を行う物理的装置並びにこれに用いられるプログラムなどをいう。

4.ポリシー遵守義務

ポリシーの対象範囲に定める対象者は、本学園の所有する情報資産に関わる業務において、情報セキュリティの重要性について共通の認識を持つとともに業務の遂行に当たって基本方針を遵守するものとする。
また、役員・職員は、学生及びその他本学園保有の情報資産に対するアクセスを認められている者に、これを遵守させる義務を負うものとする。

5.組織・体制

本学園の情報資産を守るため、本学園に最高情報セキュリティ責任者(CISO)を置き、理事長の指名する者をもって充てる。
最高情報セキュリティ責任者は、本学園の情報セキュリティに関する統括的な意思決定と学園内外に対する責任を負うとともに、組織全体として体制を確立し、情報セキュリティの管理を実施する。
また、部局等(事務局、教養学部、大学院、各学習センター、附属図書館、オンライン教育センター、障がいに関する学生支援相談室及び公認心理師教育推進室)毎に管理体制を定める。

6.情報資産の分類と管理

本学園の情報資産を個々の情報の機密性(秘匿性)、完全性(保存性、真正性)及び可用性(見読性)を踏まえ、その重要性に応じて分類し、情報資産の管理責任及び利用責任について明確にする。
また、情報資産の重要性に応じたセキュリティ管理対策を行う。

7.情報セキュリティ対策

本学園の情報資産を保護するために、以下の情報セキュリティ対策を講じる。これらの対策は、対策基準に定め運用に当たる。

7-1.物理的セキュリティ対策

情報資産を損傷・妨害及び盗難等から保護するための物理的な対策及び情報システムの電源及び配線等の防護のための必要な措置を行う。

7-2.人的セキュリティ対策

組織・体制で定める責任者や担当者及び利用者としての役割及び責任を明確にし、全ての対象者に対して、ポリシーの内容を周知徹底させるために必要な対策を行う。

7-3.技術的セキュリティ対策

情報システム及びネットワークについて、セキュリティ機器やセキュリティソフトの導入、各種設定による情報セキュリティ対策を行うとともに、新たな脅威の出現に対応するために、セキュリティパッチの適用や、機器の更新等の対応を行う。
また、情報コンテンツの重要性に応じた情報資産へのアクセス制御に関する情報セキュリティ対策、ログの保管や定期的な情報のバックアップにより、情報セキュリティ事案に対する対策を行う。

7-4.運用対策

情報セキュリティに関する事案の検知や情報セキュリティ対策の遵守状況を確認するために、情報システムの監視を行うなど、運用面での対策及び手順を定め実施する。
また、情報資産への侵害あるいは本学園外の情報資産に対する侵害が発生した際の対応手順を定める。

8.情報セキュリティ監査及び評価・見直しの実施

8-1.監査

最高情報セキュリティ責任者は、各部局等の情報セキュリティがポリシーに沿って実施されているかを検証するために、計画的に監査を実施する。

8-2.評価及び見直し

最高情報セキュリティ責任者は、情報セキュリティ監査の結果について評価を実施する。
また、情報セキュリティを取り巻く状況の変化に鑑み、ポリシーに定める事項の見直しを実施する。

9.教育・研修

最高情報セキュリティ責任者は、ポリシーの周知と遵守のために、対象者に対してセキュリティ説明会等の教育・研修を実施する。

10.法令遵守の義務

対象者は、教育・研究活動及び事務・業務等において使用する本学園内外の情報資産について、ポリシーを遵守するとともに関連する法令等を遵守し、これに従わなければならない。

11.罰則

対象者が、故意又は重大な過失により著しくポリシーの遵守事項の違反行為に該当する場合は、別に定めた放送大学学園就業規則、放送大学学則、放送大学大学院学則及びその他関係諸規則や契約書の定めにより措置される。