○佐伯市学校情報セキュリティ基本方針

平成25年3月25日

教育委員会訓令第2号

(目的)

第1条 この訓令(以下本則において「基本方針」という。)は、佐伯市立小学校及び中学校(以下「学校」という。)が保有する情報資産の取扱い及び情報セキュリティ対策に関する基本的な考え方を定めることにより、情報資産の機密性の保持、完全性の維持及び定められた範囲での利用可能な状態の維持を確保し、もって学校運営に対する保護者及び地域住民からの信頼を確保することを目的とする。

(用語の定義)

第2条 基本方針において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1) 情報資産 学校が保有し、校務及び授業において取り扱う全ての情報(防犯カメラの録画記録を除くものとし、紙等の有体物に出力された情報を含む。)並びにこれらの情報を取扱う情報機器をいう。

(2) 情報セキュリティ 情報資産の機密性を保持し、完全性を維持するとともに、あらかじめ許可された範囲内において必要とする情報資産の利用を確実にできる状態を確保することをいう。

(3) 情報システム コンピュータ、ネットワーク及び記録媒体で構成されるもので、これら全体を用いて事務処理を行う仕組みをいう。

(4) ネットワーク 学校のコンピュータ等を相互に接続するための通信網及びその構成機器をいう。

(5) 教職員等 情報資産にアクセスする全ての学校職員(臨時的任用又は非常勤の職にある者を含む。)をいう。

(6) 生徒等 学校に在学している児童及び生徒をいう。

(7) 外部委託業者 業務委託等により情報資産を取り扱う業務に従事する事業者(下請けを行う者を含む。)をいう。

(8) アクセス 情報資産に対し、何らかの利用目的を持って接触し、又は接続することで、帳票、簿冊等の記載内容を閲覧・転記するために接すること及び情報システムへネットワークを介したデータ取得のために端末を接続すること等をいう。

(情報資産への脅威)

第3条 情報セキュリティ対策を実施するに当たり、情報資産に対する脅威として想定するものは、次の各号に掲げる区分に応じ、それぞれ当該各号に定めるものとする。

(1) 人的脅威 教職員等、生徒等又は外部委託業者による情報資産の無断持出、無許可の情報システムへの端末接続、情報資産の誤操作、パスワードの不適正管理その他の不適切な行為による情報資産の紛失、漏えい、損壊等

(2) 物理的脅威 地震、火災、落雷その他の災害、情報システムの事故、故障等による業務の停止、情報資産を管理する場所への部外者の不正な立入りによる情報資産の盗難等

(3) 技術的脅威 部外者による故意の不正アクセス又は不正操作による情報資産の持出、盗聴、不正利用、改ざん、損壊若しくは複製、コンピュータウイルスの侵入、故意の障害発生行為等

(各学校における情報セキュリティ委員会)

第4条 学校の情報資産に関して、各学校が情報セキュリティ対策を推進するため、別に定めるところにより情報セキュリティ委員会(以下「委員会」という。)を設置するものとする。

(教職員等の義務)

第5条 教職員等は、基本方針、関係法令等の趣旨を尊重し、自らの行動が校務の信用に影響を及ぼすことを強く認識した上で、情報資産に接する際には最大限の配慮を払う等の情報セキュリティの確保及び維持に努めなければならない。

(生徒等への対応)

第6条 教職員等は、生徒等に授業又は教育以外の目的で情報資産を使用させてはならない。

2 教職員等は、生徒等が情報資産を使用するに当たり、あらかじめ情報セキュリティ対策上遵守すべき事項を明示した上で、適切な指導を行わなければならない。

(外部委託業者への対応)

第7条 学校長は、外部委託業者に対し、情報資産の適正な取扱いを行わせるために必要な措置を講じなければならない。

(学校情報セキュリティ実施手順の策定)

第8条 佐伯市教育委員会教育長(以下「教育長」という。)は、第3条に規定する脅威から情報資産を保護するため、情報セキュリティ対策を講ずるに当たっての遵守すべき行為及び判断等の基準として次の各号に掲げる区分に応じ、それぞれ当該各号に定める基本的な事項を明記した「学校情報セキュリティ実施手順」(以下「実施手順」という。)を策定するものとする。

(1) 情報資産の分類 保有する情報資産の機密性、完全性等に応じた分類

(2) 人的セキュリティ対策 情報セキュリティに関する権限及び責任を明確にし、教職員等及び外部委託業者に基本方針、情報セキュリティに関する法令等の内容を周知する等の十分な研修及び啓発を行うための必要な対策

(3) 物理的セキュリティ対策 情報資産を管理する場所への不正な立入りによる盗難、損傷、妨害等から情報資産を保護するための適切な設備の設置、盗難防止対策等の物理的な対策

(4) 技術的セキュリティ対策 外部の不正なアクセス等から情報資産を保護するためのネットワーク管理、情報資産へのアクセス制御、コンピュータウイルス対策等の技術面の対策

(5) 運用におけるセキュリティ対策

 基本方針、情報セキュリティに関する法令等の遵守状況の確認、情報システムへの接続記録を取得・分析する等の運用面の対策

 緊急事態が発生した場合に迅速な対応を可能とするための危機管理対策

2 実施手順は、公にした場合に学校の運営に重大な支障を及ぼすおそれがあることから非公開とする。

(教職員等への周知)

第9条 委員会は、基本方針及び実施手順の教職員等への周知並びに情報セキュリティ意識の向上を図るため、研修、説明会その他啓発活動を実施するものとする。

(違反者への対応)

第10条 佐伯市教育委員会は、教職員等が基本方針又は実施手順に違反する行為を行ったと認められるときは、その違反の程度に応じ、地方公務員法(昭和25年法律第261号)第29条の規定による懲戒処分又は訓告、厳重注意等の処分を行うものとする。

(事故発生時の対応)

第11条 教職員等は、情報セキュリティに関する事故又は情報資産への侵害を発見したときは、直ちに学校長へその旨を報告し、その指示に従わなければならない。この場合において、学校長は、大分県教育庁学校等危機管理実施要領(平成16年8月23日大分県教育委員会教育長決裁)により、関係機関に対する報告等を行うとともに、佐伯市教育委員会と連携して再発防止策を講ずるものとする。

(情報セキュリティ実施状況の検証)

第12条 委員会は、基本方針及び実施手順が遵守されていることを確認するため、定期的に情報セキュリティ実施状況の検証を行うものとする。

(評価及び見直しの実施)

第13条 委員会は、前条の検証の結果等を踏まえ、基本方針及び実施手順の評価を適宜行い、教育長に報告するものとする。

2 教育長は、前項の規定による報告を受けたとき又は情報セキュリティ対策上必要と認めたときは、別に定める情報セキュリティ検討会において基本方針及び実施手順の見直しを行うものとする。

附 則

この訓令は、平成25年4月1日から施行する。

附 則(平成29年3月31日教委訓令第2号)

この訓令は、平成29年4月1日から施行する。

佐伯市学校情報セキュリティ基本方針

平成25年3月25日 教育委員会訓令第2号

(平成29年4月1日施行)