京都大学の情報セキュリティ対策に関する規程

平成15年10月21日
達示第43号制定

第1章 総則

(目的)
第1条 この規程は、京都大学(以下「本学」という。)における情報セキュリティの維持及び向上に関する事項を定めることにより、本学の有する情報資産の保護と活用を図ることを目的とする。

(定義)
第2条 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

  1. 情報セキュリティ 第3号に定める情報資産の機密性、完全性及び可用性を維持することをいう。
  2. 情報システム 情報の作成、利用及び管理等のための仕組み(ハードウェア及びソフトウェアからなる情報機器並びに有線又は無線のネットワークをいう。)をいう。
  3. 情報資産 情報システム及び情報システムに記録された情報並びに情報システムの開発及び運用に係るすべての情報をいう。ただし、別に定める場合を除き、情報は、第11号に定める電磁的記録に限る。
  4. 情報セキュリティポリシー 京都大学における情報セキュリティの基本方針(平成27年3月25日役員会決定)及びこの規程をいう。
  5. 実施規程 情報セキュリティポリシーに基づき情報担当の理事(以下「担当理事」という。)が定める京都大学情報セキュリティ対策基準(以下「対策基準」という。)及び京都大学情報格付け基準(以下「格付け基準」という。)その他の規程、基準及び計画をいう。
  6. インシデント 情報セキュリティに関し、意図的又は偶発的に生じる、本学の諸規程又は法律に違反する事故若しくは事件をいう。
  7. 個人情報 京都大学における個人情報の保護に関する規程(平成17年達示第1号)第2条第1項に規定する個人情報及び京都大学における個人番号及び特定個人情報の保護に関する規程(平成27年達示第49号)第2条第4項に規定する特定個人情報等をいう。
  8. 部局 各研究科等(各研究科、各附置研究所、附属図書館、医学部附属病院及び各センター等(国立大学法人京都大学の組織に関する規程(平成16年達示第1号。以下この号において「組織規程」という。)第3章第7節から第11節まで(第47条第1項に定める組織のうち図書館機構を除く。)に定める施設等をいう。)をいい、組織規程第56条第1項の部局事務部等を含む。)、事務本部及び各共通事務部をいう。
  9. 教職員等 役員及び本学が定める就業規則に基づき雇用されている教職員をいう。
  10. 学生等 学部学生及び大学院学生、外国学生、委託生、科目等履修生、聴講生、特別聴講学生、特別研究学生、特別交流学生等(京都大学通則(昭和28年達示第3号)第5章に定めるもの)、研究生、研修員等(京都大学研修規程(昭和24年達示第3号)に定めるもの)その他本学規程に基づき受け入れる研究者等をいう。
  11. 電磁的記録 電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。

(対象範囲)
第3条 情報セキュリティポリシーは、次の各号に規定する情報資産を対象とする。

  1. 本学が所有又は管理する情報システム
  2. 前号に規定する情報システムに接続された情報機器で、前号に該当しないもの
  3. 本学との契約又は協定に基づき提供される情報システム
  4. 第1号若しくは前号に規定する情報システム又は第2号に規定する情報機器を利用する者(教職員等及び学生等以外の者を含む。以下同じ。)が、本学の教育、研究その他の業務のために作成又は取得した情報で、当該情報システム又は情報機器に記憶させたもの
  5. 第1号又は第3号に規定する情報システムに関する計画、構築、運用等の情報処理業務に係る情報で、書面に記載されたもの
  6. 教職員及び学生等が、本学の教育、研究その他の業務のために作成又は取得した情報で、前2号に該当しないもの

2 前項各号に規定する情報資産を運用、管理又は利用する者は、情報セキュリティポリシーを遵守しなければならない。

第2章 組織体制

(最高情報セキュリティ責任者)
第4条 本学に最高情報セキュリティ責任者を置き、担当理事をもって充てる。
2 最高情報セキュリティ責任者は、本学の情報セキュリティに関する総括的な権限及び責任を有する。

(情報セキュリティ実施責任者)
第4条の2 本学に情報セキュリティ実施責任者を置き、本学の教職員のうちから、総長が指名する。
2 情報セキュリティ実施責任者は、本学における情報セキュリティ対策の実施に関し総括する。

(情報セキュリティ監査責任者)
第4条の3 本学に情報セキュリティ監査責任者を置き、本学の教職員のうちから、最高情報セキュリティ責任者が指名する。
2 情報セキュリティ監査責任者は、最高情報セキュリティ責任者の指示に基づき、第15条に定める監査に関し統括する。

(情報セキュリティ監査実施者)
第4条の4 本学に情報セキュリティ監査実施者を置き、本学の教職員のうちから、情報セキュリティ監査責任者が指名する。
2 情報セキュリティ監査実施者は、情報セキュリティ監査責任者の指示に基づき、第15条に定める監査を実施する。

(情報セキュリティアドバイザー)
第4条の5 本学に、必要に応じて情報セキュリティアドバイザーを置くことができる。
2 情報セキュリティアドバイザーは、情報セキュリティに関する専門的知識及び経験を有する者のうちから、最高情報セキュリティ責任者が委嘱する。
3 情報セキュリティアドバイザーは、最高情報セキュリティ責任者に対し、情報セキュリティに関する技術的な助言を行う。

(部局情報セキュリティ責任者)
第5条 部局に部局情報セキュリティ責任者を置き、当該部局の長(事務本部にあっては、最高情報セキュリティ責任者が指名する者。)をもって充てる。
2 部局情報セキュリティ責任者は、当該部局の情報セキュリティに関する権限と責任を有する。

(部局情報セキュリティ技術責任者)
第5条の2 部局に部局情報セキュリティ技術責任者を置き、当該部局の教職員のうちから、部局情報セキュリティ責任者が指名する。
2 部局情報セキュリティ技術責任者は、当該部局の情報システムにおける情報セキュリティ対策の実施に関し統括する。
3 部局に、必要に応じて部局情報セキュリティ技術責任者を補佐させるため、部局情報セキュリティ副技術責任者を置くことができる。

(部局情報システム技術担当者)
第5条の3 情報システムを保有する部局に、当該情報システムごとに部局情報システム技術担当者を置き、当該部局の教職員のうちから、部局情報セキュリティ責任者が指名する。
2 部局情報システム技術担当者は、所管する情報システムにおける情報セキュリティ対策を実施する。

(部局情報セキュリティ連絡責任者)
第5条の4 部局に、当該部局におけるインシデントに係る連絡調整に関する業務を総括するため、部局情報セキュリティ連絡責任者を置く。

(全学情報セキュリティ委員会等)
第6条 本学の情報セキュリティに関し、次の各号に掲げる事項について審議するため、本学に全学情報セキュリティ委員会(以下「全学委員会」という。)を置く。

  1. この規程の改廃に関すること。
  2. 情報セキュリティの確保に必要となる実施規程の制定及び改廃に関すること。
  3. 情報セキュリティの維持及び向上のための措置に関すること。
  4. その他情報セキュリティに関することで、重要なこと。

2 全学委員会は、次の各号に掲げる委員で組織する。

  1. 最高情報セキュリティ責任者
  2. 情報セキュリティ実施責任者
  3. 部局情報セキュリティ責任者
  4. その他最高情報セキュリティ責任者が指名する者 若干名

3 全学委員会に委員長を置き、最高情報セキュリティ責任者をもって充てる。
4 委員長は、委員会を招集し、議長となる。
5 全学委員会の下に、情報セキュリティに係る技術的事項に関し、全学及び部局間の連絡調整を行うため、全学情報セキュリティ技術連絡会(以下「連絡会」という。)を置く。
6 連絡会は、次の各号に掲げる者で組織し、情報セキュリティ実施責任者又はその指名する者が座長となる。

  1. 情報セキュリティ実施責任者
  2. 各部局の部局情報セキュリティ技術責任者又は部局情報セキュリティ副技術責任者のうちからそれぞれ当該部局の部局情報セキュリティ責任者が指名する者 各1名
  3. その他情報セキュリティ実施責任者が指名する者 若干名

7 前各項に定めるもののほか、全学委員会の議事運営その他必要な事項は、全学委員会が定める。

(情報セキュリティインシデント対応チーム)
第7条 インシデントの発生時に、迅速かつ円滑に対応するため、最高情報セキュリティ責任者の下に、情報セキュリティインシデント対応チーム(以下「CSIRT」という。)を置く。
2 CSIRTに関し必要な事項は、担当理事が定める。

(情報ネットワーク危機管理委員会)
第7条の2 情報ネットワークに関わる危機管理を行うため、最高情報セキュリティ責任者の下に、情報ネットワーク危機管理委員会を置く。
2 情報ネットワーク危機管理委員会に関し必要な事項は、担当理事が定める。

(情報ネットワーク倫理委員会)
第7条の3 情報ネットワークにおける人権侵害、著作権侵害等に該当し、又は該当するおそれのある情報の発信防止等を行うため、最高情報セキュリティ責任者の下に、情報ネットワーク倫理委員会を置く。
2 情報ネットワーク倫理委員会に関し必要な事項は、担当理事が定める。

(部局情報セキュリティ委員会)
第8条 部局に部局情報セキュリティ委員会(以下「部局委員会」という。)を置く。
2 前項の規定にかかわらず、部局が必要と認めるときは、複数の部局が共同して一の部 局委員会を設置することができる。
3 部局委員会は、部局情報セキュリティ責任者が指名する者で組織する。この場合において、前項の部局委員会の場合にあっては、関係部局の部局情報セキュリティ責任者の協議に基づき指名するものとする。
4 部局委員会に委員長を置き、部局情報セキュリティ責任者をもって充てる。ただし、第2項の部局委員会の場合にあっては、関係部局の協議に基づきいずれかの部局の部局情報セキュリティ責任者をもって充てるものとする。
5 部局委員会は、部局情報セキュリティ責任者を補佐し、部局における情報セキュリティに関する事項を扱う。
6 部局委員会に関し必要な事項は、当該部局において定める。ただし、第2項の部局委員会の場合にあっては、関係部局の協議に基づき定めるものとする。

(役割の分離)
第9条 情報セキュリティ対策の実施において、以下の役割を同じ者が兼ねることができない。

  1. 承認又は許可を受ける者とその承認又は許可を行う者
  2. 監査を受ける者とその監査を行う者

第3章 情報資産の保護

(情報資産の格付け及び管理)
第10条 部局情報セキュリティ責任者は、格付け基準に基づき当該部局が管理する情報資産について、適切な格付けと管理を実施しなければならない。
2 前項の規定の適用に関し必要な事項は、対策基準で定める。

第4章 情報システムのセキュリティの維持及び向上

(情報システムのライフサイクル)
第11条 本学が所有又は管理する情報システムの設置、運用及び廃棄に関し必要な事項は、対策基準で定める。

第5章 インシデントへの対処

(インシデントへの対処)
第12条 インシデントへの対処に関し必要な事項は、対策基準で定める。

第6章 ネットワークの監視及び利用情報の取得

(ネットワークの監視)
第13条 第3条第1号若しくは第3号の情報システム又は同条第2号の情報機器を管理、運用又は利用する者は、ネットワークを通じて行われる通信を傍受してはならない。ただし、最高情報セキュリティ責任者又は当該情報システムを管理する部局情報セキュリティ責任者は、セキュリティ確保のために、あらかじめ指名した者に、ネットワークを通じて行われる通信の監視(以下「監視」という。)を行わせることができる。監視の範囲及び手続は、対策基準で定める。
2 前項の指名を受けた者は、監視によって知った通信の内容又は個人情報を、他の者に伝達してはならない。ただし、本学又は学外に対する重大なセキュリティ侵害を防止するために必要と認められる場合は、対策基準で認める内容を対策基準で定める手続により、監視を行わせる者及び対策基準で特に定める者に伝達することができる。
3 監視によって採取した記録の取扱いその他必要な事項は、対策基準で定める。

(利用の記録)
第14条 情報システムの利用記録の採取及び取扱いについては、対策基準で定める。

第7章 監査、点検及び情報セキュリティポリシーの更新等

(監査)
第15条 情報セキュリティ監査責任者及び情報セキュリティ監査実施者は、情報セキュリティポリシー及び実施規程の実施状況に係る監査を行い、情報セキュリティ監査責任者は、その結果を最高情報セキュリティ責任者に報告するものとする。

(点検)
第16条 部局情報セキュリティ責任者は、当該部局における情報セキュリティポリシー及び実施規程の実施状況について点検を行い、最高情報セキュリティ責任者に報告するものとする。

(ポリシー及び実施規程の更新)
第17条 全学委員会は、第15条の監査及び前条の点検の結果並びに本学におけるインシデントを勘案し、定期的に情報セキュリティポリシー及び実施規程の更新を審議するものとする。

(その他)
第18条 この規程に定めるもののほか、本学の情報セキュリティに関し必要な事項は、対策基準で定める。

附則
この規程は、平成15年10月21日から施行する。

附則(平成16年達示第117号)
この規程は、平成16年6月2日から施行し、平成16年4月1日から適用する。

附則(平成17年達示第143号)
この規程は、平成17年2月16日から施行し、平成16年4月1日から適用する。

附則(平成17年達示第76号)
この規程は、平成17年11月29日から施行し、平成17年11月1日から適用する。

(中間の改正規程の附則は、省略した。)

附則(平成18年達示第71号)
1 この規程は、平成18年12月25日から施行する。
2 京都大学情報ネットワーク危機管理委員会要項(平成16年3月31日総長裁定制定)は、廃止する。

(中間の改正規程の附則は、省略した。)

附則(平成21年達示第67号)
1 この規程は、平成21年4月1日から施行する。
2 京都大学情報セキュリティ対策基準(平成15年10月21日総長裁定)は、廃止する。

(中間の改正規程の附則は、省略した。)

附則(平成26年達示第40号)
この規程は、平成26年10月1日から施行する。

附則
この規程は、平成27年4月1日から施行する。

附則
この規程は、平成28年4月1日から施行する。

附則
この規程は、平成29年4月1日から施行する。