京都大学情報資産利用のためのルール

(平成19年9月4日部局長会議了承)

第1章 総則

(理念)
第1 京都大学の教職員および学生等は、本学の情報資産(京都大学の情報セキュリティ対策に関する規程(平成15年達示第43号)第2条に規定するものをいう。以下同じ。)を利用するに当たり、教育・研究の自由と自主を基礎とした高い倫理性と社会に対する強い責任感が求められる。このルールは、本学の基本理念に定める自由と調和の精神にのっとり、情報資産の適正かつ円滑な利用を確保することを目的とする。このルールの解釈適用においては、日本国憲法の保障する学問の自由、表現の自由その他基本的人権を侵害することがあってはならない。

(定義)
第2 このルールにおいて、「本学」、「情報資産」、「情報セキュリティポリシー」、「部局」、「教職員等」、「学生等」、「部局情報セキュリティ責任者」、「部局情報システム技術担当者」、「情報ネットワーク危機管理委員会」、「情報ネットワーク倫理委員会」、「部局委員会」、「監視」、「利用記録」とは、それぞれ京都大学の情報セキュリティ対策に関する規程第1条、第2条各号、第5条、第5条の3、第7条の2、第7条の3、第8条、第13条及び第14条に規定されたものをいう。

第2章 遵守すべき事項

(利用目的による規制)
第3 情報資産は、当該情報資産について定められた目的以外に利用してはならない。

(情報の発信に対する規制)
第4 次に掲げる情報の発信を行ってはならない。

  1. 差別、名誉毀損、侮辱、ハラスメントにあたる情報の発信。
  2. プライバシーを侵害する情報の発信。
  3. 守秘義務に違反する情報の発信。
  4. 著作権等の財産権を侵害する情報の発信。
  5. その他法令に基づく処罰の対象となり、又は損害賠償等の民事責任を発生させる情報の発信。

 (情報機器の利用に対する規制)
第5 情報機器を利用して、次に掲げる行為をし、又はしようとしてはならない。

  1. 通信の秘密を侵害する行為。
  2. 情報セキュリティポリシーの規定に拠らずにネットワーク上の通信を監視し又は情報機器の利用情報を取得する行為。
  3. アクセス制御(情報システムにアクセスする者に対してアクセスを許可する情報及びアクセスの種類を制限することをいう。)を免れる行為又はこれに類する行為。
  4. 管理者の要請に基づかずにセキュリティ上の脆弱性を検知する行為。
  5. 過度な負荷等により円滑な情報資産の利用を妨げる行為。
  6. 上記の行為を助長する行為。

(管理責任)
第6 情報管理者(情報を作成又は取得した教職員等をいう。以下同じ。)及び部局情報システム技術担当者は、第3、第4及び第5に掲げた事項を遵守するために、情報資産の適切な管理を行わなければならない。

第3章 違反行為への対処

(窓口の設置)
第7 第2章に規定する遵守すべき事項に違反すると疑われる行為(以下「被疑行為」という。)に関する苦情その他連絡(以下「苦情等」という。)を受け付けるため、情報部情報基盤課セキュリティ対策掛(以下「対策掛」という。)及び部局に窓口を置く。

(被疑行為の通知)
第8 対策掛は、苦情等及び対策掛が検知した被疑行為に関する情報を、情報ネットワーク倫理委員会(以下「倫理委員会」という。)に通知する。

2 情報ネットワーク危機管理委員会は、被疑行為を認めた場合、倫理委員会に通知する。

3 倫理委員会は、被疑行為を認めた場合、関係する部局委員会に通知する。

(倫理委員会への依頼)
第9 部局委員会は、倫理委員会に対して、被疑行為を通知し、第10に規定する違反行為の調査若しくは第11に規定する違反行為への措置又はその両者を依頼することができる。

(違反行為の調査)
第10 被疑行為を認めた場合又は被疑行為の通知を受けた場合、関係する部局委員会は、すみやかに調査を行い、事実を確認するものとする。事実の確認に当たっては、可能な限り当該行為を行った者の意見を聴取する等、適正な手続を取らなければならない。

2 情報管理者及び部局情報システム技術担当者は、調査に協力しなければならない。部局委員会は、調査に必要な範囲で監視の記録及び利用記録の提出を求めることができる。

3 倫理委員会は、必要と認める場合、前2項に規定する調査を行うことができる。倫理委員会は、調査の開始を関係する部局委員会に通知するものとする。倫理委員会と部局委員会は、連携して調査を行うことができる。

4 部局委員会が調査の終了を決定した場合、倫理委員会は当該部局に対する調査を行うことができない。

5 調査によって明らかとなった事実は、非公開とする。ただし、法令に基づき開示が必要な場合は、この限りではない。

(違反行為への措置)
第11 第2章に規定する遵守すべき事項に違反する行為(以下「違反行為」という。)が確認された場合、部局情報セキュリティ責任者は、違反行為を行った者(以下「違反行為者」という。)に対して違反行為をやめるよう命ずることができる。ただし、緊急性が認められる場合、違反行為者が明らかでない場合、又は違反行為者が命令に従わない場合、部局情報セキュリティ責任者は、違反行為に係る発信を防止する等の必要な措置をとることができる。部局情報セキュリティ責任者は、遮断等を実施するために他部局に協力を求めることができる。

2 倫理委員会は、部局情報セキュリティ責任者に、前項に規定する命令又は措置を行うよう勧告することができる。

3 倫理委員会は、必要と認める場合、第1項に規定する命令又は措置を行うことができる。ただし、緊急性が認められる場合を除き、部局情報セキュリティ責任者の意見を訊くものとする。

4 部局情報セキュリティ責任者が命令又は措置を行い又は行わないことを決定した場合、倫理委員会による命令又は措置は効力を失う。

(違反行為者への措置)
第12 部局情報セキュリティ責任者は、違反行為者に対して、指導等の適切な措置を講ずることができる。

2 倫理委員会は、前項に規定する適切な措置について意見を述べることができる。

附則
このルールは、平成19年10月1日から実施する。
このルールは、平成21年4月1日から実施する。
このルールは、平成23年4月1日から実施する。
このルールは、平成27年4月1日から実施する。
このルールは、平成29年4月1日から実施する。
このルールは、令和3年4月1日から実施する。