○尾張旭市教育情報セキュリティ対策基準

第1 目的

この基準は、尾張旭市教育情報セキュリティ基本規程(令和元年教育委員会訓令第1号)第3条第5号の規定に基づき、教育情報セキュリティ対策の実施に関し必要な事項を定めるものとする。

第2 組織体制

1 教育情報セキュリティ対策を実施するに当たり、次の表の左欄に掲げる職の職員は、同表右欄に掲げる事務を分掌するものとする。

事務分掌

教育長

最高教育情報セキュリティ責任者(CISO:Chief Information Security Officer、以下「CISO」という。)として、本市の教育情報セキュリティ対策に関する最終決定を行う。

教育部長

統括教育情報セキュリティ責任者として、CISOを補佐又は代理し、本市の教育情報セキュリティ対策に関する総合調整及び異例な事項についての決定を行う。

管理指導主事

統括教育情報セキュリティ管理者として、尾張旭市立小中学校の教育情報セキュリティ対策に関する統括的な権限及び責任を有する。

教育行政課長

教育情報セキュリティ・システム責任者として、統括教育情報セキュリティ責任者を補佐又は代理し、本市の教育情報資産に関する教育情報セキュリティ及び情報システムに関する統括的な権限及び責任を有する。

尾張旭市立小中学校長(以下「校長」という。)

教育情報セキュリティ管理者として、該当校の教育情報セキュリティ対策に関する権限及び責任を有する。

2 教育情報セキュリティに関する特に重要な事項については、教育長、教育部長、管理指導主事、教育行政課長、校長並びに教育長が必要と認める者が参加する会議等において、審議及び調整等を行うものとする。

3 教育情報セキュリティに関する統一的な窓口の設置

(1) 教育長は、教育情報セキュリティに関する障害・事故及びシステム上の欠陥(以下「教育情報セキュリティインシデント」という。)の統一的な窓口の機能を有する組織(以下「統一的な窓口」という。)を整備し、教育情報セキュリティインシデントについて学校等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備する。

(2) 統一的な窓口は教育行政課に置き、教育長による教育情報セキュリティ戦略の意思決定が行われた際には、その内容を関係する学校等に提供する。

(3) 統一的な窓口は、教育情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知・公表対応を行わなければならない。

(4) 統一的な窓口は、教育情報セキュリティに関して、関係機関や他の地方公共団体の統一的な窓口の機能を有する部署、外部の事業者等との情報共有を行う。

第3 教育情報資産の分類と管理

1 教育情報資産の分類

教育情報資産は、次の表のとおり分類し、当該分類に基づき教育情報セキュリティ対策を行うものとする。

分類

区分

分類基準

重要性1

最高

(1)尾張旭市個人情報保護条例(平成15年条例第5号)第2条第3項に規定する個人情報

(2)尾張旭市情報公開条例(平成12年条例第25号)第7条に規定する非公開情報

重要性2

(1)破壊、改ざん又は滅失等した場合に、教育行政の信頼性を損なうおそれがある情報

(2)破壊、改ざん又は滅失等した場合に、教育行政の円滑な執行を妨げるおそれがある情報

重要性3

重要性1及び重要性2以外の情報

2 教育情報資産の管理

(1) 教育情報の作成

教育情報を作成する場合は、作成途上の教育情報についても、紛失や流出等を防止しなければならない。また、教育情報の作成途上で不要になった場合は、当該教育情報を消去しなければならない。

(2) 教育情報資産の入手

教育情報資産を入手した場合は、教育情報資産の分類に応じ、適正な取扱いをしなければならない。

(3) 教育情報資産の利用

ア 教育情報資産を利用する場合は、業務以外の目的に教育情報資産を利用してはならない。

イ 教育情報資産を利用する場合は、教育情報資産の分類に応じ、適正な取扱いをしなければならない。

ウ 教育情報資産を利用する場合は、電磁的記録媒体に教育情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体を取り扱わなければならない。

(4) 教育情報資産の保管

ア 教育情報資産は、教育情報資産の分類に従って、適正に保管しなければならない。

イ 教育情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じなければならない。

ウ 重要性1及び重要性2の教育情報を記録した電磁的記録媒体を保管する場合は、耐火、耐熱、耐水及び耐湿を考慮した施錠可能な場所に保管しなければならない。

(5) 教育情報の送信

電子メール等により重要性1の教育情報を送信する場合は、必要に応じ暗号化又はパスワード設定をしなければならない。

(6) 教育情報資産の運搬

ア 車両等により重要性1の教育情報資産が入った電磁的記録媒体を運搬する場合は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、教育情報資産の不正利用を防止するための措置を講じなければならない。

イ 重要性1の教育情報資産を運搬する場合は、尾張旭市立小中学校においては該当校の校長に、それ以外は教育行政課長に許可を得なければならない。

(7) 教育情報資産の提供、公開

ア 重要性1の教育情報資産が入った電磁的記録媒体を外部(市以外のものをいう。以下同じ。)に提供する場合は、暗号化又はパスワードの設定をしなければならない。

イ 重要性1の教育情報資産を外部に提供する場合は、尾張旭市立小中学校においては該当校の校長に、それ以外は教育行政課長に許可を得なければならない。

ウ 住民に教育情報資産を公開する場合は、完全性を確保しなければならない。

(8) 教育情報資産の廃棄

重要性1及び重要性2の教育情報資産を廃棄する場合で、教育情報を記録している電磁的記録媒体が不要になったときは、電磁的記録媒体の初期化等、教育情報を復元できないように処置した上で廃棄しなければならない。

第4 情報システム全体のセキュリティの向上

(1) 校務系及び学習系

校務系及び学習系においては、教育情報セキュリティインシデントの早期発見と対処等の教育情報セキュリティ対策を推進しなければならない。

(2) 校務系と学習系との分離

校務系と学習系は両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。

(3) 教育情報のアクセス及び持ち出しにおける対策

ア 教育情報のアクセス対策

端末(モバイル端末を除く。)が正規の利用者かどうかを判断する認証手段のうち、2つ以上を併用する認証(多要素認証)を利用しなければならない。

イ 教育情報の持ち出し不可設定

原則として、USBメモリ等の電磁的記録媒体による端末からの教育情報の持ち出しができないように設定しなければならない。

第5 物理的セキュリティ

1 サーバ等の管理

(1) 機器の取付け

教育行政課長は、サーバ等の機器の取付けを行う場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適正に固定する等、外部委託事業者と連携し、必要な措置を講じなければならない。

(2) サーバの冗長化

ア 教育行政課長は、重要情報を格納しているサーバ、セキュリティサーバ及びその他の基幹サーバを冗長化し、同一データを保持しなければならない。

イ 教育行政課長は、メインサーバに障害が発生した場合に、速やかにセカンダリサーバを起動し、システムの運行停止時間を最小限にしなければならない。

(3) 機器の電源

ア 教育行政課長は、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適正に停止するまでの間に十分な電力を供給する容量の予備電源を外部委託事業者と連携し、備え付けなければならない。

イ 教育行政課長は、落雷等による過電流に対して、外部委託事業者と連携し、サーバ等の機器を保護するための措置を講じなければならない。

(4) 通信ケーブル等の配線

ア 教育行政課長は、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

イ 教育行政課長は、許可した以外の者が配線を変更できないように必要な措置を講じなければならない。

(5) 機器の定期保守及び修理

ア 教育行政課長は、重要性1及び重要性2のサーバ等の機器の定期保守を実施しなければならない。

イ 教育行政課長は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合、内容を消去した状態で行わせなければならない。ただし、修理を委託する事業者との間で、守秘義務契約を締結し、秘密保持体制の確認等を行った場合はこの限りではない。

(6) 外部委託事業者等のデータセンタ等への機器の設置

教育行政課長は、外部委託事業者等のデータセンタ等にサーバ等の機器を設置する場合、教育長の承認を得なければならない。また、定期的に当該機器への教育情報セキュリティ対策状況について確認しなければならない。

(7) 機器の廃棄等

教育行政課長は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

2 通信回線の管理

(1) 情報システムに通信回線を接続する場合は、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化をしなければならない。

(2) ネットワークに使用する回線は、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分な教育情報セキュリティ対策を実施しなければならない。

3 管理区域の管理

(1) 管理区域の構造等

ア 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行う部屋(以下「情報システム室」という。)や電磁的記録媒体の保管庫をいう。

イ 管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。

ウ 情報システム室内の機器等は、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

エ 管理区域に配置する消火薬剤や消防用設備等は、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

(2) 管理区域の入退室管理等

ア 情報システム室の管理者は、管理区域への入退室は制限し、ICカード、指紋認証等の生体認証や入退室管理簿の記載による入退室管理をしなければならない。

イ 管理区域に入室する場合、身分証明書等を携帯し、情報システム室の管理者の求めにより提示しなければならない。

ウ 情報システム室の管理者は、管理区域へ持ち込む機器等の制限等を講じなければならない。

4 職員室等のパソコン等の管理

(1) 盗難防止のため、職員室等のパソコン等の端末のワイヤーによる固定、モバイル端末の使用時以外の施錠管理等の物理的措置を講じなければならない。電磁的記録媒体については、教育情報が保存される必要がなくなった時点で速やかに記録した教育情報を消去しなければならない。

(2) 職員室等のパソコン等の端末は、ログインパスワードの入力を必要とするように設定しなければならない。

第6 人的セキュリティ

1 教職員の遵守事項

(1) 教職員の遵守事項

ア 業務以外の目的での使用の禁止

教職員は、業務上必要のない情報の作成、業務以外の目的での教育情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

イ モバイル端末や電磁的記録媒体等の持ち出し

教職員は、職員室等のモバイル端末、電磁的記録媒体、教育情報資産及びソフトウェアを外部に持ち出す場合及び外部で情報処理業務を行う場合には、該当校の校長の許可を得なければならない。

ウ 支給以外のパソコン、モバイル端末及び電磁的記録媒体等の業務利用

(ア) 教職員は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を原則として業務に利用してはならない。ただし、業務上必要な電磁的記録媒体について、教育行政課長の許可を得て利用することができる。

(イ) 教職員は、支給以外の電磁的記録媒体を用いる場合には、教育行政課長の許可を得た上で、外部で情報処理作業を行う際に安全管理措置を遵守しなければならない。

エ パソコンやモバイル端末におけるセキュリティ設定変更の禁止

教職員は、パソコンやモバイル端末におけるセキュリティ機能の設定を教育行政課長の許可なく変更してはならない。

オ 端末等の管理

(ア) 教職員は、パソコン、モバイル端末、電磁的記録媒体及び教育情報が印刷された文書等について、第三者に使用されること又は許可なく教育情報を閲覧されることがないように、離席時のパソコン、モバイル端末のロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適正な措置を講じなければならない。

(イ) マイナンバーを取り扱う事務について、事務を担当する教職員(以下「事務取扱担当者」という。)は、事務取扱担当者以外の者がマイナンバー情報等を容易に閲覧等できないよう留意しなければならない。

カ 退職時等の遵守事項

教職員は、異動、退職等により業務を離れる場合には、利用していた教育情報資産を、返却しなければならない。

(2) 会計年度任用職員への対応

教育行政課長及び校長は、会計年度任用職員に対し、任用時に教育情報セキュリティポリシー等のうち、会計年度任用職員が守るべき内容を説明し、遵守させなければならない。

(3) 外部委託事業者に対する説明

教育情報ネットワーク及び情報システムの開発、保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、教育情報セキュリティポリシー等のうち外部委託事業者が守るべき内容及び機密事項等を説明し、遵守させなければならない。

2 研修

(1) 教育情報セキュリティに関する研修

教職員は、定期的に教育情報セキュリティに関する研修に参加しなければならない。

(2) 研修計画の策定及び実施

ア 教育行政課長は、新規採用の教職員を対象とする教育情報セキュリティに関する研修を実施しなければならない。

イ 教育行政課長は、校長を含め全ての教職員に対する教育情報セキュリティに関する研修計画の策定と実施計画の構築を定期的に実施しなければならない。

3 教育情報セキュリティインシデントの報告

(1) 教職員は、教育情報セキュリティインシデントを認知した場合、速やかに該当校の校長に報告しなければならない。

(2) 報告を受けた校長は、速やかに管理指導主事及び教育行政課長に報告しなければならない。

(3) 管理指導主事及び教育行政課長は、当該教育情報セキュリティインシデントについて、必要に応じて教育長に報告するとともに、教育情報セキュリティインシデント原因を究明し、記録を保存しなければならない。また、教育情報セキュリティインシデントの原因究明結果から、再発防止策を検討しなければならない。

4 ID及びパスワード等の管理

(1) IDの取扱い

教職員は、自己の管理するIDに関し、次の事項を遵守しなければならない。

ア 自己が利用しているIDは、他人に利用させてはならない。

イ 共用IDを利用する場合は、許可された共用IDの利用者以外に利用させてはならない。

(2) パスワードの取扱い

教職員は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

ア パスワードは、他者に知られないように管理しなければならない。

イ パスワードを秘密にし、パスワードの照会等には一切応じてはならない。

ウ パスワードの文字列は想像しにくいものにしなければならない。

エ パスワードが流出したおそれがある場合には、パスワードを速やかに変更しなければならない。

第7 技術的セキュリティ

1 コンピュータ等及びネットワークの管理

(1) 文書サーバの設定等

ア 教育行政課長は、教職員が使用できる文書サーバの容量を設定し、教職員に周知しなければならない。

イ 文書サーバは、業務又は学校の単位で構成し、教職員が他の業務又は学校のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。

(2) バックアップの実施

ファイルサーバ等に記録された情報について、サーバの冗長化対策に関わらず、定期的にバックアップを実施しなければならない。

(3) 他団体との情報システムに関する情報等の交換

他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、教育行政課長の許可を得なければならない。

(4) システム管理記録及び作業の確認

ア 教育行政課長は、情報システムの運用において実施した作業について、作業記録を作成しなければならない。

イ 教育行政課長は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適正に管理しなければならない。

ウ システム変更等の作業を行う場合は、2名以上で作業し、互いにその作業を確認しなければならない。

(5) 情報システム仕様書等の管理

教育行政課長は、ネットワーク構成図、情報システム仕様書について記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適正に管理しなければならない。

(6) ログの取得等

ア 教育行政課長は、重要性1の情報を取り扱う情報システムについて、各種ログ及び教育情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

イ 教育行政課長は、ログとして取得する項目、保存期間、取得方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。

ウ 教育行政課長は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

(7) 障害記録

教育行政課長は、教職員からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。

(8) ネットワークの接続制御、経路制御等

ア 教育行政課長は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

イ 教育行政課長は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。

(9) 外部の者が利用できるシステムの分離等

電子申請の汎用受付システム等、外部の者が利用できるシステムは、必要に応じ他のネットワーク及び情報システムと分離する等の措置を講じなければならない。

(10) 外部ネットワークとの接続制限等

ア 教育行政課長は、所管するネットワークを外部ネットワークと接続しようとする場合には、教育長の許可を得なければならない。

イ 教育行政課長は、接続しようとする外部ネットワークに関するネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の教育情報資産に影響が生じないことを確認しなければならない。

ウ 教育行政課長は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

エ 教育行政課長は、情報システムを外部に公開する場合、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

オ 教育行政課長は、接続した外部ネットワークのセキュリティに問題が認められ、教育情報資産に脅威が生じることが想定される場合には、速やかに当該外部ネットワークを物理的に遮断しなければならない。

(11) 複合機のセキュリティ管理

ア 教育行政課長は、複合機(プリンタ、ファクシミリ、イメージスキャナ、コピー機等の機能のうち複数のものが一つにまとめられている機器をいう。以下同じ。)を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う教育情報資産の分類及び管理方法に応じ、適正なセキュリティ要件を策定しなければならない。

イ 教育行政課長及び校長は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する教育情報セキュリティインシデントへの対策を講じなければならない。

ウ 教育行政課長は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

(12) 特定用途機器のセキュリティ管理

教育行政課長は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。

(13) 無線LANの利用制限

校務系では原則として無線LANを利用してはならない。ただし、校務系で無線を利用する場合は、教育行政課長の許可を得て利用することができる。また、利用する場合は、解読が困難な暗号化及び認証技術を使用しなければならない。

(14) 電子メールのセキュリティ管理

ア 教育行政課長は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバを設定しなければならない。

イ 教育行政課長は、電子メールの送受信容量の上限及び電子メールボックスの容量を設定しなければならない。

(15) 電子メールの利用制限

ア 教職員は、自動転送機能を用いて、電子メールを転送してはならない。

イ 教職員は、業務上必要のない送信先に電子メールを送信してはならない。

ウ 教職員は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

エ 教職員は、教育行政課長の許可なくウェブで利用できる電子メール、ネットワークストレージサービス等を使用してはならない。

(16) 暗号化

ア 教職員は、教育情報資産の分類により、外部に送るデータの機密性又は完全性を確保することが必要な場合には、指定された暗号化又はパスワード設定等、セキュリティを考慮して、送信しなければならない。

イ 教職員は、暗号化を行う場合に指定されていない方法を用いてはならない。

(17) 無許可ソフトウェアの導入等の禁止

ア 教職員は、教育行政課長の許可なくパソコンやモバイル端末にソフトウェアを導入してはならない。なお、導入する際は、ソフトウェアのライセンスを管理しなければならない。

イ 教職員は、不正にコピーしたソフトウェアを利用してはならない。

(18) 機器構成の変更の制限

教職員は、教育行政課長の許可なくパソコンやモバイル端末に対し機器の改造、増設及び交換を行ってはならない。

(19) 無許可でのネットワーク接続の禁止

教職員は、教育行政課長の許可なくパソコンやモバイル端末をネットワークに接続してはならない。

(20) 業務以外の目的でのウェブ閲覧の禁止

ア 教職員は、業務以外の目的でウェブを閲覧してはならない。

イ 教育行政課長は、教職員のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、該当校の校長に通知し適正な措置を求めなければならない。

2 アクセス制御

(1) アクセス制御

ア アクセス制御等

教育行政課長は、所管するネットワーク又は情報システムごとにアクセスする権限のない教職員がアクセスできないように、システム上制限しなければならない。

イ 利用者IDの取扱い

(ア) 教育行政課長は、利用者の登録、変更、抹消等の教育情報管理、教職員の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。

(イ) 教育行政課長は、利用されていないIDが放置されないよう、点検しなければならない。

ウ 特権を付与されたIDの管理等

(ア) 教育行政課長は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

(イ) 教育行政課長は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

(2) 教職員による外部からのアクセス等の制限

ア 教育行政課長は、内部のネットワーク又は情報システムに対する外部からのアクセスが必要な場合は、必要最小限の者に限定しなければならない。

イ 教育行政課長は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保するとともに、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

ウ 教育行政課長は、公衆通信回線(公衆無線LAN等)の庁外通信回線を庁内ネットワークに接続することは原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID及びパスワード、生体認証に係る情報等の認証情報及びこれを記録した媒体(ICカード等)による認証に加えて通信内容の暗号化等、教育情報セキュリティ確保のために必要な措置を講じなければならない。

(3) 認証情報の管理

ア 教育行政課長は、教職員の認証情報を厳重に管理しなければならない。

イ 教育行政課長は、認証情報の不正利用を防止するための措置を講じなければならない。

3 システム開発、導入、保守等

(1) 情報システムの調達

教育行政課長は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(2) 情報システムの開発

ア 情報システム開発における責任者及び作業者の特定

教育行政課長は、情報システム開発の責任者及び作業者を特定しなければならない。

イ 情報システム開発における責任者、作業者のIDの管理

(ア) 教育行政課長は、情報システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。

(イ) 教育行政課長は、情報システム開発の責任者及び作業者のアクセス権限を設定しなければならない。

ウ 情報システム開発に用いるハードウェア及びソフトウェアの管理

(ア) 教育行政課長は、情報システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

(イ) 教育行政課長は、利用を認めたソフトウェア以外のソフトウェアが導入されている場合、当該ソフトウェアを情報システムから削除しなければならない。

(3) 情報システムの導入

ア 教育行政課長は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験をしなければならない。

イ 教育行政課長は、運用テストを行う場合、あらかじめ擬似環境による操作確認をしなければならない。

ウ 教育行政課長は、個人情報及び機密性の高い生データを、テストデータに使用してはならない。

エ 教育行政課長は、開発した情報システムについて受入れテストを行う場合、開発した組織と導入する組織が、それぞれ独立したテストを行わなければならない。

(4) 情報システム開発及び保守に関連する資料等の整備・保管

ア 教育行政課長は、情報システム開発及び保守に関連する資料及び情報システム関連文書を適正に整備・保管しなければならない。

イ 教育行政課長は、テスト結果を一定期間保管しなければならない。

ウ 教育行政課長は、情報システムに係るソースコードを適正な方法で保管しなければならない。

(5) 情報システムにおける入出力データの正確性の確保

ア 教育行政課長は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

イ 教育行政課長は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

ウ 教育行政課長は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

(6) 情報システムの変更管理

教育行政課長は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。

(7) 開発及び保守用のソフトウェアの更新等

教育行政課長は、開発及び保守用のソフトウェア等を更新、又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。

(8) 情報システム更新又は統合時の検証等

教育行政課長は、情報システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証をしなければならない。

4 不正プログラム対策

(1) 教育行政課長の措置事項

教育行政課長は、不正プログラム対策として、次の事項を措置しなければならない。

ア 外部ネットワークにより受信するファイルは、コンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。

イ サーバ及びパソコン等の端末(モバイル端末を除く。)は、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させ、ソフトウェア及びパターンファイルは、常に最新の状態に保たなければならない。また、インターネットに接続していないパソコン等の端末についても、感染、侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。

ウ パソコン等の端末(モバイル端末を除く。)に対する不正プログラム対策ソフトウェアによるフルチェックは、定期的に実施しなければならない。

エ コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ教職員に対して注意喚起しなければならない。

オ 業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用してはならない。

(2) 教職員の遵守事項

教職員は、不正プログラム対策に関し、次の事項を遵守しなければならない。

ア パソコンやモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更してはならない。

イ 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックをしなければならない。

ウ 差出人が不明な電子メールを受信した場合並びに添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックしなければならない。

エ コンピュータウイルス等の不正プログラムに感染した、又は感染が疑われる場合は、以下の対応を行わなければならない。

(ア) パソコン等の端末の場合

LANケーブルの即時取り外しを行わなければならない。

(イ) モバイル端末の場合

直ちに利用を中止し、通信を行わない設定への変更を行わなければならない。

(3) 専門家の支援体制

教育行政課長は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

5 不正アクセス対策

(1) 攻撃への対処

教育行政課長は、サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。

(2) 記録の保存

教育行政課長は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(3) 教職員による不正アクセス

教育行政課長は、教職員による不正アクセスを発見した場合は、該当校の校長に通知し、適正な処置を求めなければならない。

(4) サービス不能攻撃

教育行政課長は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

(5) 標的型攻撃

教育行政課長は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育や自動再生無効化等の対策を講じなければならない。また、通信をチェックする等の内部対策を講じなければならない。

6 セキュリティ情報の収集

(1) セキュリティホール等に関する情報の収集及び共有並びにソフトウェアの更新等

教育行政課長は、セキュリティホール等に関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。

(2) 教育情報セキュリティに関する情報の収集及び共有

教育行政課長は、教育情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、教育情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

第8 運用

1 情報システムの監視

教育行政課長は、セキュリティに関する侵害を検知するため、情報システムを監視しなければならない。

2 教育情報セキュリティポリシーの遵守状況の確認

(1) 遵守状況の確認及び対処

教育行政課長及び校長は、教育情報セキュリティポリシーの遵守状況について確認を行い、問題が発生した場合には、適正かつ速やかに対処しなければならない。

(2) パソコン、モバイル端末及び電磁的記録媒体等の利用状況調査

教育行政課長は、不正アクセス、不正プログラム等の調査のため必要がある場合は、職員が使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

3 侵害時の対応等

(1) 実施手順の策定

教育行政課長は、教育情報セキュリティインシデント、教育情報セキュリティポリシーの違反、自然災害、大規模又は広範囲にわたる疫病等により教育情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合の連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適正に実施するため、あらかじめ実施手順を定めるとともに、セキュリティ侵害時には当該手順に従って適正に対処しなければならない。

(2) 実施手順に盛り込むべき内容

実施手順には、以下の内容を定めなければならない。

ア 関係者の連絡先

イ 発生した事案に係る報告すべき事項

ウ 発生した事案への対応措置

エ 再発防止措置の策定

(3) 実施手順の見直し

教育情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて実施手順を見直さなければならない。

(4) 実施手順の公開

実施手順の内、公にすることにより本市の教育情報セキュリティ対策に重大な支障を及ぼすおそれがある事項については、非公開とする。

4 例外措置

(1) 例外措置の許可

教育行政課長は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合には、教育長の許可を得て、例外措置を講じることができる。

(2) 緊急時の例外措置

教育行政課長は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することができないときは、事後速やかに教育長に報告しなければならない。

5 法令遵守

教職員は、職務の遂行において使用する教育情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。

(1) 地方公務員法(昭和25年法律第261号)

(2) 教育公務員特例法(昭和24年法律第1号)

(3) 著作権法(昭和45年法律第48号)

(4) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(5) 個人情報の保護に関する法律(平成15年法律第57号)

(6) サイバーセキュリティ基本法(平成26年法律第104号)

(7) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)

第9 外部サービスの利用

1 外部委託

(1) 外部委託事業者の選定基準

ア 教育行政課長は、外部委託事業者の選定に当たり、委託内容に応じた教育情報セキュリティ対策が確保されることを確認しなければならない。

イ 教育行政課長は、クラウドサービスを利用する場合は、情報の重要性に応じたセキュリティレベルが確保されているサービスを利用しなければならない。

(2) 契約項目

情報システムの運用、保守等を外部委託する場合には、外部委託事業者との間で必要に応じて次の教育情報セキュリティ要件を明記した契約を締結しなければならない。

ア 教育情報セキュリティポリシー及び教育情報セキュリティ実施手順の遵守

イ 外部委託事業者の責任者、委託内容、作業者、作業場所の特定

ウ 提供されるサービスレベルの保証

エ 外部委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法

オ 外部委託事業者の従業員に対する教育の実施

カ 提供された情報の目的外利用及び受託者以外の者への提供の禁止

キ 業務上知り得た情報の守秘義務

ク 再委託に関する制限事項の遵守

ケ 委託業務終了時の教育情報資産の返還、廃棄等

コ 委託業務の定期報告及び緊急時報告義務

サ 委員会による監査、検査

シ 委員会による教育情報セキュリティインシデント発生時の公表

ス 教育情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)

(3) 確認、措置等

教育行政課長は、外部委託事業者において必要な情報セキュリティ対策が確保されていることを必要に応じ確認し、契約に基づき措置を実施しなければならない。

2 約款による外部サービスの利用

(1) 約款による外部サービスの利用に係る規定の整備

教育行政課長は、以下を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、重要性2以上の情報が取り扱われないように規定しなければならない。

ア 約款によるサービスを利用して良い範囲

イ 業務により利用する約款による外部サービス

ウ 利用手続及び運用手順

(2) 約款による外部サービスの利用における対策の実施

教職員は、利用するサービスの約款、その他提供条件から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適正な措置を講じた上で利用しなければならない。

3 ソーシャルメディアサービスの利用

(1) 教育行政課長は、委員会が管理するアカウントでソーシャルメディアサービスを利用する場合、教育情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

ア 委員会のアカウントによる情報発信が、実際の委員会のものであることを明らかにするために、委員会の自己管理ウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。

イ パスワードや認証のためのコード等の認証情報及びこれを記録した媒体(ICカード等)等を適正に管理するなどの方法で、不正アクセス対策を実施すること。

(2) 重要性2以上の情報はソーシャルメディアサービスで発信してはならない。

(3) 利用するソーシャルメディアサービスごとの責任者を定めなければならない。

第10 評価、見直し

1 監査

(1) 実施方法

委員会(外部委託事業者及び再委託事業者を含む。)は、ネットワーク及び情報システム等の教育情報資産における教育情報セキュリティ対策状況について、必要に応じて監査を行うものとする。

(2) 監査を行う者の要件

ア 委員会(外部委託事業者及び再委託事業者を含む。)は、被監査部門から独立した者に対して、監査の実施を依頼するものとする。

イ 監査を行う者は、監査及び教育情報セキュリティに関する専門知識を有する者とする。

(3) 保管

監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書は、紛失等が発生しないように適正に保管するものとする。

(4) 監査結果への対応

教育行政課長及び校長は、監査結果に対応しなければならない。

(5) 本基準及び関連規程等の見直し等への活用

監査結果は、本基準及び関連規程等の見直し、その他教育情報セキュリティ対策の見直し時に活用しなければならない。

2 自己点検

(1) 実施方法

教育行政課長は、ネットワーク及び情報システムについて教育情報セキュリティポリシーに沿った教育情報セキュリティ対策状況について、必要に応じて自己点検を実施するものとする。

(2) 自己点検結果の活用

ア 教職員は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

イ 点検結果は、本基準及び関連規程等の見直し、その他教育情報セキュリティ対策の見直し時に活用しなければならない。

3 本基準及び関連規程等の見直し

教育情報セキュリティ監査及び自己点検の結果並びに教育情報セキュリティに関する状況の変化等を踏まえ、本基準及び関係規程等について必要があると認めた場合、改善を行うものとする。

附 則

この基準は、令和元年9月1日から施行する。

附 則

この基準は、令和2年4月1日から施行する。

尾張旭市教育情報セキュリティ対策基準

令和元年7月2日 要綱等

(令和2年4月1日施行)

体系情報
要綱・要領等/ 教育委員会/ 教育行政課
沿革情報
令和元年7月2日 要綱等
令和2年3月13日 要綱等