○久留米市教育委員会学校情報セキュリティ規則
平成29年3月31日
久留米市教育委員会規則第2号
久留米市教育委員会学校情報セキュリティ規則(平成23年久留米市教育委員会規則第1号)の全部を改正する。
(趣旨)
第1条 この規則は、高度情報通信社会の急速な進展によるネットワークを介した情報システムの利用拡大に伴い、情報資産に対する不正な侵害、災害、事故等の脅威が増大していることに鑑み、地方教育行政の組織及び運営に関する法律(昭和31年法律第162号)第30条の規定に基づき本市に設置された学校(以下「学校」という。)が保有する情報資産の機密性(情報にアクセスすることを認可された者だけがアクセスできることを確実にすることをいう。)、完全性(情報及び処理の方法の正確さ並びに完全である状態を安全に防護することをいう。)及び可用性(許可された利用者が必要なときに情報にアクセスできることを確実にすることをいう。)を安定的に維持し、児童及び生徒が安心して勉学に励むことができ、かつ、保護者及び地域住民から信頼される教育活動を実現するために、情報セキュリティ基本方針その他必要な事項を定めるものとする。
(1) 電子計算機等 ハードウェア及びソフトウェアで構成するコンピュータ及び周辺機器並びに電磁的記録媒体(電子的方式、磁気的方式その他人の知覚によっては認識できない方式で作られた記録に係る記録媒体をいう。以下同じ。)をいう。
(2) ネットワーク 電子計算機等を相互に接続するための通信網及び接続に必要な機器で構成される仕組みをいう。
(3) 情報システム 電子計算機等及びネットワークによって処理を行う環境をいう。
(4) 教育情報 学校の情報システムで取り扱う教育の用に供する全てのデータをいう。
(5) 情報資産 情報システム及び教育情報をいう。
(6) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持し、並びに定められた範囲での利用可能な状態を維持することをいう。
(7) 情報セキュリティインシデント ウイルス感染、不正アクセスその他の校務運営に影響を及ぼし、情報セキュリティを脅かしたりする事件や事故及びセキュリティ上好ましくない事象や事態のことをいう。
(8) CSIRT 情報セキュリティインシデントの関連情報、脆弱性情報、攻撃予兆情報を収集し、及び分析し、適切な対処を行うための組織のことをいう。
(9) 不正アクセス 情報システムを利用する者が、その者に与えられた権限によって許された行為以外の行為を、ネットワークを介して意図的に行うことをいう。
(10) ウイルス 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたコンピュータプログラムであり、次に掲げる機能の一つ以上を有するものをいう。
ア 自己伝染機能 自らの機能によって他のプログラムに自らをコピーし、又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
イ 潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
ウ 発病機能 プログラム、データ等のファイルを破壊し、又は設計者の意図しない動作をさせる等の機能
(11) 教職員 校長、副校長、教頭、主幹教諭、指導教諭、教諭、助教諭、養護教諭、養護助教諭、栄養教諭、実習助手、講師、事務職員、技術職員及び学校栄養職員並びにこれらに準ずるものをいう。
(令5教規則9・一部改正)
(適用範囲)
第3条 この規則は、学校において教育の用に供する全ての情報資産に適用する。
(令5教規則9・一部改正)
(教職員の責務)
第4条 教職員は、情報セキュリティの重要性を認識し、業務の遂行に当たり、この規則を遵守しなければならない。
2 教職員は、情報資産の取扱いに当たり、次に掲げる法令を遵守しなければならない。
(1) 個人情報の保護に関する法律(平成15年法律第57号)
(3) 著作権法(昭和45年法律第48号)
(4) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(令5教規則9・一部改正)
(情報セキュリティ管理体制)
第5条 学校での教育の用に供する情報資産について、情報セキュリティ対策を推進し、管理するために、次に掲げる職を置く。
(1) 最高情報セキュリティ責任者
(2) 情報セキュリティ責任者
(3) 情報セキュリティ管理者
(4) 情報システム管理者
(最高情報セキュリティ責任者)
第6条 最高情報セキュリティ責任者(以下「CISO」という。)は、学校での教育の用に供する全ての情報資産及びそれらに関する情報セキュリティ対策に関する最終決定権限及び責任を有する。
2 CISOは、教育部長をもって充てる。
(令5教規則9・一部改正)
(情報セキュリティ責任者)
第7条 情報セキュリティ責任者は、CISOを補佐し、学校での教育の用に供する全ての情報資産及びそれらに関する情報セキュリティ対策の統括的な管理を行う。
2 情報セキュリティ責任者は、教育センター所長をもって充てる。
(令5教規則9・一部改正)
(情報セキュリティ管理者等)
第8条 情報セキュリティ管理者は、学校における情報セキュリティ対策を管理する。
2 情報セキュリティ管理者は、校長をもって充てる。
3 情報セキュリティ管理者は、その学校の教職員の中から情報セキュリティ担当者を定め、その補佐をさせることができる。
(情報システム管理者等)
第9条 情報システム管理者は、所管する情報システムの開発、設定の変更、運用、見直し及び当該情報システムの情報セキュリティ対策に関する権限及び責任を有する。
2 情報システム管理者は、情報システムを所管する課等の長をもって充てる。
3 情報システム管理者は、情報システム担当者を定め、その補佐をさせることができる。
(久留米市教育CSIRTの設置)
第10条 情報システムに対するサイバー攻撃等の情報セキュリティインシデントが発生した際、発生した情報セキュリティインシデントを正確に把握し、及び分析し、被害の拡大防止、復旧、再発防止等を迅速かつ的確に行うため、久留米市教育CSIRTを置く。
(情報資産の分類)
第11条 情報資産については、その重要度に応じて分類を行う。
(情報セキュリティ対策)
第12条 情報資産を保護するために、次に掲げるセキュリティ対策を講ずるものとする。
(1) 人的セキュリティ対策 情報セキュリティに関する権限や責任を定め、教職員に対する十分な教育及び啓発が行われるよう必要な対策を講ずること。
(2) 物理的セキュリティ対策 情報資産への損傷、妨害等から保護するために物理的な対策を講ずること。
(3) 技術的セキュリティ対策 情報資産を外部からの不正なアクセス等から適切に保護するために情報資産へのアクセス制御、ネットワーク管理等の技術面の対策を講ずること。
(4) 運用におけるセキュリティ対策 この規則その他情報セキュリティに関する法令の遵守状況の確認等の運用面の対策及び緊急事態が発生した場合に迅速な対応を可能とするための危機管理対策を講ずること。
(情報セキュリティ対策基準の策定)
第13条 CISOは、前条の対策を講ずるに当り、遵守すべき行為及び判断等の基準を統一的に定めるため、必要となる基本的な要件を明記した久留米市学校情報セキュリティ対策基準(以下、「対策基準」という。)を策定しなければならない。
(情報セキュリティ実施手順の策定)
第14条 情報セキュリティ管理者は、この規則及び対策基準に基づき、その属する学校の情報資産について、情報セキュリティの実施に関する具体的な手順を定めた学校情報セキュリティ実施手順(以下「実施手順」という。)を策定しなければならない。
(情報資産の管理)
第15条 情報セキュリティ管理者は、その属する学校の情報資産について、この規則、対策基準及び実施手順に従い適正な管理を行うよう、当該学校の教職員を指導し、及び監督しなければならない。
(情報資産の利用)
第16条 教職員は、業務以外の目的で情報資産を利用してはならない。
(違反者への対応)
第17条 この規則及び対策基準に違反した教職員については、その違反の重大性及び発生した侵害等の状況等に応じて懲戒処分又は懲戒処分の内申の対象とする。
(情報セキュリティ実施状況の検証)
第18条 情報セキュリティ責任者は、この規則及び対策基準が遵守されていることを確認するため、定期的に情報セキュリティ実施状況の検証を行う。
(見直しの実施)
第19条 情報セキュリティ実施状況の検証結果等を踏まえるとともに、情報セキュリティを取り巻く状況の変化に対応するために、この規則、対策基準及び実施手順の見直しを適宜行う。
(委任)
第20条 この規則に定めるもののほか、この規則の施行に関し必要な事項は、教育委員会が別に定める。
附則
この規則は、平成29年4月1日から施行する。
附則(令和5年3月31日教育委員会規則第9号)
この規則は、令和5年4月1日から施行する。