○佐伯市教育情報セキュリティ基本方針
平成25年3月25日
教育委員会訓令第2号
(目的)
第1条 この訓令(以下「基本方針」という。)は、佐伯市教育委員会が保有する情報資産の取扱い及び情報セキュリティ対策に関する基本的な考え方を定めることにより、情報資産の機密性、完全性及び可用性を維持し、もって学校運営等に対する保護者及び地域住民からの信頼を確保することを目的とする。
(1) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器をいう。
(2) 情報システム 大分教育ネットワークに接続し、教育に関する業務に利用するコンピュータ、ネットワーク及び記録媒体で構成されるもので、これら全体を用いて事務処理を行う仕組みをいう。
(3) 情報資産 次に掲げるものをいう。
ア 情報システム、情報システムに関する設備及び電磁的記録媒体
イ 情報システムで取り扱う情報(これらを印刷した文書を含む。)(防犯カメラの録画記録を除く。)
ウ 情報システムの仕様書及びネットワーク図等のシステム関連文書
(4) アクセス 情報資産に対し、何らかの利用目的を持って接触し、又は接続することで、帳票、簿冊等の記載内容を閲覧・転記するために接すること及び情報システムへネットワークを介したデータ取得のために端末を接続すること等をいう。
(5) 機密性 アクセスを認められた者だけがアクセスのできる状態を確保することをいう。
(6) 完全性 情報が破壊され、改ざんされ、又は消去されていない状態を確保することをいう。
(7) 可用性 アクセスを認められた者が必要なときに中断されることなく、アクセスのできる状態を確保することをいう。
(8) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(9) 教職員等 アクセスをする全ての職員(臨時的任用又は非常勤の職にある者を含む。)をいう。
(10) 生徒等 佐伯市立小学校及び中学校(以下「学校」という。)に在学している児童及び生徒をいう。
(11) 外部委託業者 業務委託等により情報資産を取り扱う業務に従事する事業者(下請けを行う者を含む。)をいう。
(情報資産への脅威)
第3条 情報セキュリティ対策を実施するに当たり、情報資産に対する脅威として想定するものは、次に掲げるものとする。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃、部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(各学校における情報セキュリティ委員会)
第4条 情報資産に関して、各学校が情報セキュリティ対策を推進するため、別に定めるところにより情報セキュリティ委員会(以下「委員会」という。)を設置するものとする。
(教職員等の義務)
第5条 教職員等は、基本方針、関係法令等の趣旨を尊重し、自らの行動が校務等の信用に影響を及ぼすことを強く認識した上で、情報資産に接する際には最大限の配慮を払う等の情報セキュリティの確保及び維持に努めなければならない。
(生徒等への対応)
第6条 教職員等は、生徒等に授業又は教育以外の目的で情報資産を使用させてはならない。
2 教職員等は、生徒等が情報資産を使用するに当たり、あらかじめ情報セキュリティ対策上遵守すべき事項を明示した上で、適切な指導を行わなければならない。
(1) 組織体制 情報資産について、情報セキュリティ対策を推進する組織体制
(2) 情報資産の分類及び管理 保有する情報資産の機密性、完全性及び可用性に応じた分類並びに当該分類に応じた情報セキュリティ対策
(3) 物理的セキュリティ対策 情報資産を管理する場所への不正な立入りによる盗難、損傷、妨害等から情報資産を保護するための適切な設備の設置、盗難防止対策等の物理的な対策
(4) 人的セキュリティ対策 情報セキュリティに関する権限及び責任を明確にし、教職員等及び外部委託業者に基本方針、情報セキュリティに関する法令等の内容を周知する等の十分な研修及び訓練を行うための必要な対策
(5) 技術的セキュリティ対策 外部の不正なアクセス等から情報資産を保護するためのネットワーク管理、情報資産へのアクセス制御、コンピュータウイルス対策等の技術的な対策
(6) 運用におけるセキュリティ対策 次に掲げる事項
ア 基本方針、情報セキュリティに関する法令等の遵守状況の確認、情報システムの監視、業務委託を行う際の情報セキュリティ対策の確保等の基本方針の運用面の対策
イ 緊急事態が発生した場合に迅速かつ適切な対応を可能とするための危機管理対策
(7) 業務委託及び外部サービスの利用 次に掲げる事項
ア 業務委託する場合の外部委託業者の選定基準及び契約書に明記する情報セキュリティ要件
イ 外部サービスを利用する場合の手順
2 実施手順は、公にした場合に学校運営その他の教育行政の運営に重大な支障を及ぼすおそれがあることから非公開とする。
(教職員等への周知)
第8条 委員会は、基本方針及び実施手順の教職員等への周知並びに情報セキュリティ意識の向上を図るため、研修、説明会その他啓発活動を実施するものとする。
(違反者への対応)
第9条 佐伯市教育委員会は、教職員等が基本方針又は実施手順に違反する行為を行ったと認められるときは、その違反の程度に応じ、地方公務員法(昭和25年法律第261号)第29条の規定による懲戒処分又は訓告、厳重注意等の処分を行うものとする。
(事故発生時の対応)
第10条 教職員等は、情報セキュリティに関する事故又は情報資産への侵害を発見したときは、実施手順に定める方法に従い、必要な措置を講じなければならない。
2 教育部長は、必要に応じて前項の事故又は侵害の原因の究明、再発防止策の検討等を行うとともに、教育長に報告するものとする。
3 教育長は、前項の規定による報告を受けたときは、再発防止のために必要な措置を講ずるものとする。
(情報セキュリティ実施状況の検証)
第11条 委員会は、基本方針及び実施手順が遵守されていることを確認するため、必要に応じて情報セキュリティ実施状況の検証を行うものとする。
(評価及び見直しの実施)
第12条 委員会は、前条の検証の結果等を踏まえ、基本方針及び実施手順の評価を適宜行い、教育長に報告するものとする。
2 教育長は、前項の規定による報告を受けたとき又は情報セキュリティ対策上必要と認めたときは、別に定める情報セキュリティ検討会において基本方針及び実施手順の見直しを行うものとする。
附則
この訓令は、平成25年4月1日から施行する。
附則(平成29年3月31日教委訓令第2号)
この訓令は、平成29年4月1日から施行する。
附則(令和6年3月29日教委訓令第2号)
この訓令は、令和6年4月1日から施行する。