○東近江市教育情報セキュリティ対策に関する規程
令和3年3月29日
教育委員会訓令第4号
(趣旨)
第1条 この規程は、東近江市教育委員会(以下「教育委員会」という。)が保有する情報資産の機密性、完全性及び可用性を維持するため、教育委員会が実施する教育情報セキュリティ対策に関し基本的な事項を定めるものとする。
(1) 教育ネットワーク コンピュータを相互に接続するための通信網並びにその構成機器であるハードウェア及びソフトウェアをいう。
(2) 教育情報システム コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。
(3) 教育情報資産 次に掲げるものをいう。
ア 教育情報システム
イ コンピュータ及び電磁的記録媒体(それぞれ情報システムの構成要素となるものを除く。)
エ 教育情報システムの仕様書、ネットワーク図等のシステム関連文書
(4) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(5) 完全性 情報が破壊され、改ざんされ、又は消去されていない状態を確保することをいう。
(6) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(7) 教育情報セキュリティ 教育情報資産の機密性、完全性及び可用性を維持することをいう。
(脅威及びリスク)
第3条 この規程に基づく教育情報セキュリティ対策は、次に掲げる脅威及びリスクを想定して行われなければならない。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃、部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん又は消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計又は開発の不備、プログラム上の欠陥、操作又は設定のミス、メンテナンスの不備、監査の機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい、破壊、消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 電力供給の途絶、通信の途絶等のインフラの障害からの波及等
(職員の義務)
第4条 職員は、教育情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行において、教育情報セキュリティに関する法令等を遵守しなければならない。
2 職員は、契約により教育委員会の事務事業の委託を受けた事業者、派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第26条第1項に規定する労働者派遣契約に基づき教育委員会に派遣され、教育委員会の事務事業に従事する者をいう。)その他教育委員会の事務事業に従事する者に対して、事業執行に当たりこの規程を遵守するよう周知し、及び徹底しなければならない。
(組織体制)
第5条 統一的な教育情報セキュリティを確保するため、次に掲げる責任者、管理者及び委員会を置く。
(1) 最高教育情報セキュリティ責任者
(2) 統括教育情報セキュリティ責任者
(3) 教育情報セキュリティ管理者
(4) 教育情報システム管理者
(5) 教育ネットワーク委員会
2 最高教育情報セキュリティ責任者は、教育情報セキュリティに関する全ての活動を総括し、並びに緊急時における情報セキュリティ対策を指揮する責任及び権限を有し、教育長をもって充てる。
3 統括情報セキュリティ管理者は、教育情報セキュリティ対策の実行を統括する責任及び権限を有し、教育部長をもって充てる。
4 教育情報セキュリティ管理者は、所管する課又は学校に係る教育情報セキュリティ対策(教育情報システム管理者が行うものを除く。)の実行に関する責任及び権限を有し、課又は学校の長をもって充てる。
5 教育情報システム管理者は、所管する教育情報システムに係る教育情報セキュリティ対策の実行に関する責任及び権限を有し、当該教育情報システムを所管する課の長をもって充てる。
6 教育情報セキュリティ委員会は、教育情報セキュリティ対策基準の策定、運用、評価その他東近江市教育情報セキュリティ委員会要綱(令和3年東近江市教育委員会訓令第3号)に規定する事項に関する責任及び権限を有する。
(教育情報セキュリティ対策)
第6条 教育情報セキュリティ管理者及び教育情報システム管理者は、次に掲げる教育情報セキュリティ対策を行うものとする。
(1) 教育情報資産の管理における対策として、教育情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき教育情報セキュリティ対策を講ずること。
(2) 物理的セキュリティ対策として、サーバ、管理区域、通信回線、職員のパソコン等の管理について、必要な対策を講ずること。
(3) 人的セキュリティ対策として、教育情報セキュリティに関し、職員が遵守すべき事項の周知及び徹底を図るとともに、十分な教育及び啓発を行う等の必要な対策を講ずること。
(4) 技術的セキュリティ対策として、コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の必要な対策を講ずること。
(5) 教育情報セキュリティ対策の運用における対策として、教育情報システムの監視、教育情報セキュリティ対策の遵守状況の確認等の対策を講ずるとともに、教育情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するための危機管理対策を講ずること。
ア 外部委託する場合 教育情報セキュリティ対策のうち外部委託事業者が守るべき事項を明記した契約書に基づき、外部委託事業者において必要な教育情報セキュリティ対策が確保されていることを確認するとともに、必要に応じ、契約に基づく措置等を行うこと。
イ 約款による外部サービスを利用する場合 利用に係る規定を整備し、必要な対策を行うこと。
2 統括情報セキュリティ責任者は、教育情報セキュリティ対策の実行に関して、教育情報セキュリティ管理者及び教育情報システム管理者への指導、助言及び許可を行うものとする。
(教育情報セキュリティ対策基準の策定)
第7条 教育情報セキュリティ委員会は、この規程に基づく教育情報セキュリティ対策を実施するための統一的な遵守事項、判断基準等を明らかにするため、教育情報セキュリティ対策基準を策定するものとする。
(東近江市情報セキュリティ委員会)
第8条 最高教育情報セキュリティ責任者は教育情報セキュリティインシデントが発生した場合は、本市における教育情報セキュリティを適切に確保するために設けられている東近江市情報セキュリティ委員会に諮問しなければならない。
(クラウドサービスの利用)
第9条 統括教育情報セキュリティ責任者及び教育情報システム管理者は、安全性を確保したうえで、クラウドサービスを利用することができる。その場合、定期的に当該クラウドへの教育情報セキュリティ対策状況について確認しなければならない。
2 職員は安全性が確保されたクラウドサービスを利用できる。
3 クラウドサービスは教育情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき安全性を確保できる情報資産のみ保存することができる。
(教育情報セキュリティに関する研修及び啓発)
第10条 教育研究所は、教育情報セキュリティに関する意識及び理解度を高めるために、定期的に又は必要に応じて、職員に対して、研修及び啓発を実施する。
(懲戒処分)
第11条 教育情報セキュリティポリシーに違反した職員及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
(違反時の対応)
第12条 職員の教育情報セキュリティポリシーに違反する行動を確認した場合には、速やかに措置を講じなければならない。
2 統括教育情報セキュリティ責任者が違反を確認した場合は、統括教育情報セキュリティ責任者は当該職員が所属する学校の教育情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
3 教育情報システム管理者等が違反を確認した場合は、違反を確認した者は速やかに統括教育情報セキュリティ責任者及び当該職員が所属する学校の教育情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
4 教育情報セキュリティ管理者の指導によっても改善されない場合、統括教育情報セキュリティ責任者は、当該職員の教育ネットワーク又は教育情報システムを使用する権利を停止あるいは剥奪することができる。その後速やかに、統括教育情報セキュリティ責任者は、職員の権利を停止あるいは剥奪した旨を最高教育情報セキュリティ責任者及び当該職員が所属する学校の教育情報セキュリティ管理者に通知しなければならない。
附則
この訓令は、令和3年4月1日から施行する。