目的
第1条 本规程は、学校法人金沢医科大学(以下「本学」という。)における情报及び情报システムの情报セキュリティ対策について基本的な事项を定め、もって本学の保有する情报の保护と有効活用及び情报セキュリティ水準の适切な维持向上を図ることを目的とする。
适用范囲
第2条 本规程において适用対象とする者は、全ての教职员、并びに本学の情报システムの利用者及び临时利用者とする。
2 本规程において适用対象とする情报は、以下の情报とする。
(1)教职员等が职务上使用することを目的として本学が调达し、又は开発した情报処理若しくは通信の用に供するシステム又は外部电磁的记録媒体に记録された情报(当该情报システムから出力された书面に记载された情报及び书面から情报システムに入力された情报を含む。)
(2)その他の情报システム又は外部电磁的记録媒体に记録された情报(当该情报システムから出力された书面に记载された情报及び书面から情报システムに入力された情报を含む。)であって、教职员等が职务上取り扱う情报
(3)第一号及び第二号のほか、本学が调达し、又は开発した情报システムの设计又は运用管理に関する情报
(4)法令に保存义务が规定されている诊疗録等の诊疗情报については、金沢医科大学病院(以下「本学病院」という。)において别に定める规程に従うこととする。
3 本规程において适用対象とする情报システムは、本规程の适用対象となる情报を取り扱う全ての情报システムとする。
用语定义
第3条 本规程において、次の各号に掲げる用语の定义は、当该各号に定めるところによる。
(1)外部サービス
学外の者が一般向けに情报システムの一部又は全部の机能(クラウドストレージ等の厂补补厂)を提供するものをいう。ただし、当该机能において本学の情报が取り扱われる场合に限る。
(2)外部サービス管理者
外部サービスの利用における利用申请の许可権限者から利用承认时に指名された当该外部サービスに係る管理を行う者をいう。
(3)外部サービス提供者
外部サービスを提供する事业者をいう。外部サービスを利用して本学に向けて独自のサービスを提供する事业者は含まれない。
(4)外部サービス利用者
外部サービスを利用する本学の利用者等又は业务委託した委託先において外部サービスを利用する场合の委託先の従业员をいう。
(5)学生等
本学通则に定める学部学生、大学院学生、研究生、研究员并びに研究者等をいう。
(6)机器等
情报システムの构成要素(サーバ装置、端末、通信回线装置、复合机、特定用途机器等、ソフトウェア等)、外部电磁的记録媒体等の総称をいう。
(7)教职员等
本学を设置する法人の役员?评议员及び、本学に勤务する常勤又は非常勤の教职员(派遣职员を含む)その他、最高情报セキュリティ责任者が认めた者をいう。教职员等には、个々の勤务条件にもよるが、例えば、派遣労働者、一时的に受け入れる研修生等も含まれている。
(8)业务委託
本学の业务の一部又は全部について、契约をもって外部の者に実施させることをいう。「委任」「準委任」「请负」といった契约形态を问わず、全て含むものとする。ただし、当该业务において本学の情报を取り扱わせる场合に限る。
(9)记録媒体
情报が记録され、又は记载される有体物をいう。记録媒体には、文字、図形等人の知覚によって认识することができる情报が记载された纸その他の有体物(以下「书面」という。)と、电子的方式、磁気的方式その他人の知覚によっては认识することができない方式で作られる记録であって、情报システムによる情报処理の用に供されるもの(以下「电磁的记録」という。)に係る记録媒体(以下「电磁的记録媒体」という。)がある。また、电磁的记録媒体には、サーバ装置、端末、通信回线装置等に内蔵される内蔵电磁的记録媒体と、鲍厂叠メモリ、外付けハードディスクドライブ、顿痴顿-搁等の外部电磁的记録媒体がある。
(10)サーバ装置
情报システムの构成要素である机器のうち、通信回线等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭载されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺机器を含む。)をいい、特に断りがない限り、本学が调达又は开発するものをいう。
(11)颁厂滨搁罢(シーサート)
本学において発生した情報セキュリティインシデントに対処するため、本学に設置された体制をいう。Computer Security Incident Response Teamの略。
(12)実施手顺
定められた対策内容を个别の情报システムや业务において実施するため、あらかじめ定める必要のある具体的な手顺をいう。
(13)情报
本规程第2条第2项に定めるものをいう。
(14)情报システム
ハードウェア及びソフトウェアから成るシステムであって、情报処理又は通信の用に供するものをいい、特に断りのない限り、本学が调达又は开発するもの(管理を外部委託しているシステムを含む。)をいう。
(15)情报セキュリティインシデント
JIS Q 27000:2019における情報セキュリティインシデントをいう。
(16)情报セキュリティ関连规程
具体的な対策内容を定めた规程及び実施手顺を総称したものをいう。
(17)情报セキュリティ対策推进体制
本学の情报セキュリティ対策の推进に係る事务を遂行するため、学内に设置された体制をいう。
(18)端末
情报システムの构成要素である机器のうち、利用者等が情报処理を行うために直接操作するもの(搭载されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺机器を含む。)をいい、特に断りがない限り、本学が调达又は开発するものをいう。端末には、モバイル端末も含まれる。特に断りを入れた例としては、本学が调达又は开発するもの以外を指す「本学支给以外の端末」がある。また、本学が调达又は开発した端末と本学支给以外の端末の双方を合わせて「端末(支给外端末を含む)」という。
(19)通信回线
复数の情报システム又は机器等(本学が调达等を行うもの以外のものを含む。)の间で所定の方式に従って情报を送受信するための仕组みをいい、特に断りのない限り、本学の情报システムにおいて利用される通信回线を総称したものをいう。通信回线には、本学が直接管理していないものも含まれ、その种类(有线又は无线、物理回线又は仮想回线等)は问わない。
(20)通信回线装置
通信回线间又は通信回线と情报システムの接続のために设置され、回线上を送受信される情报の制御等を行うための装置をいう。通信回线装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。
(21)ポリシー
本学が定める「情报セキュリティ対策基本方针」及び本规程をいう。
(22)モバイル端末
端末のうち、必要に応じて移动させて使用することを目的としたものをいい、端末の形态は问わない。
(23)要管理対策区域
本学の管理下にある区域(学外组织から借用している施设等における区域を含む。)であって、取り扱う情报を保护するために、施设及び执务环境に係る対策が必要な区域をいう。
(24)利用者
教职员等及び学生等で、本学の情报システムを利用する许可を受けて利用するものをいう。
(25)临时利用者
教职员等及び学生等以外の者で、本学の情报システムを临时に利用する许可を受けて利用するものをいう。
最高情报セキュリティ责任者(颁滨厂翱)
第4条 本学における情報セキュリティに関する事務を統括する者として、統合情報管理室室長を最高情报セキュリティ责任者(颁滨厂翱)とする。
2 最高情报セキュリティ责任者は、次に掲げる事务を统括する。
(1)情报セキュリティ対策推进のための组织?体制の整备
(2)情报セキュリティ対策基準の决定、见直し
(3)対策推进计画の决定、见直し
(4)情报セキュリティインシデントに対処するために必要な指示その他の措置
(5)前各号に掲げるもののほか、情报セキュリティに関する重要事项
全学情报セキュリティ委员会の设置
第5条 最高情报セキュリティ责任者は、対策基準等の审议を行う机能を持つ组织として、情报セキュリティ対策推进体制及びその他业务を実施する部局の代表者を构成员とする全学情报セキュリティ委员会を置く。
2 全学情报セキュリティ委员会の委员长及び委员は、最高情报セキュリティ责任者が情报セキュリティ対策推进体制及びその他の业务を実施する部局の代表者から指名する。
3 全学情报セキュリティ委员会は、次に掲げる事项を审议する。
(1)情报セキュリティ対策
(2)対策推进计画
(3)前各号に掲げるもののほか、情报セキュリティに関し必要な事项
4 全学情报セキュリティ委员会は、本学病院における情报セキュリティに関し、病院情报システムの运用管理に関する必要な事项を审议する病院情报システム管理委员会へ必要に応じて指导、助言することができる。
情报セキュリティ事务责任者
第6条 部局における情報セキュリティに関する事務を統括する者として、各事務課長を情报セキュリティ事务责任者とする。
2 情报セキュリティ事务责任者は、次の事務を統括する。
(1)各部局における情报セキュリティ対策推进のための组织?体制の整备
(2)「情报格付け基準」に従い、当该部署で取扱う情报の格付けの决定
(3)情报セキュリティインシデントに対処するために必要な指示その他の措置
(4)前各号に掲げるもののほか、情报セキュリティに関する重要事项
情报セキュリティ监査责任者
第7条 最高情報セキュリティ責任者の指示に基づき実施する監査に関する事務を統括する者として、個人情報責任者(総務担当副理事長)を情报セキュリティ监査责任者とする。
2 情报セキュリティ监査责任者は、命により次の事務を統括する。
(1)监査実施计画の策定
(2)监査実施体制の整备
(3)监査の実施指示及び监査结果の最高情报セキュリティ责任者への报告
(4)前各号に掲げるもののほか、情报セキュリティの监査に関する事项
管理运営部局が行う事务
第8条 本学の管理运営部局は、最高情报セキュリティ责任者の指示により、以下の各号に定める事务を行う。
(1)全学情报セキュリティ委员会の运営に関する事务
(2)本学の情报システムの运用と利用におけるポリシーの実施状况の取りまとめ
(3)讲习计画、リスク管理及び非常时行动计画等の実施状况の取りまとめ
(4)本学の情报システムのセキュリティに関する连络と通报
(5)最高情报セキュリティ责任者の支援
情报セキュリティ対策推进体制の整备
第9条 最高情报セキュリティ责任者は、本学の情报セキュリティ対策推进体制を整备し、その役割を规定する。
2 事务局长を情报セキュリティ対策推进体制の责任者とする。
3 最高情报セキュリティ责任者は、以下を含む情报セキュリティ対策推进体制の役割を规定する。
(1)情报セキュリティ関係规程及び対策推进计画の策定に係る事务
(2)情报セキュリティ関係规程の运用に係る事务
(3)例外措置に係る事务
(4)情报セキュリティ対策の教育の実施に係る事务
(5)情报セキュリティ対策の自己点検に係る事务
(6)情报セキュリティ関係规程及び対策推进计画の见直しに係る事务
4 情报セキュリティ対策推进体制整备に係る事务は、情报管理课が行う。
情报セキュリティインシデントに备えた体制の整备
第10条 最高情报セキュリティ责任者は、颁厂滨搁罢を整备し、その役割を明确化する。
2 本学における情报セキュリティインシデントに対処するための责任者として颁厂滨搁罢责任者を置く。
3 统合情报管理部长を颁厂滨搁罢责任者とする。また、颁厂滨搁罢は情报管理课员が兼务する。
4 最高情报セキュリティ责任者は、情报セキュリティインシデントが発生した际、直ちに自らへの报告が行われる体制を整备する。
5 最高情报セキュリティ责任者は、以下を含む颁厂滨搁罢の役割を规定する。
(1)本学に関わる情报セキュリティインシデント発生时の対処の一元管理
ア 全学における情报セキュリティインシデント対処の管理
イ 情报セキュリティインシデントの可能性の报告受付
ウ 本学における情报セキュリティインシデントに関する情报の集约
エ 情报セキュリティインシデントの最高情报セキュリティ责任者等への报告
オ 情报セキュリティインシデントへの対処に関する指示系统の一本化
(2)情报セキュリティインシデントへの迅速かつ的确な対処
ア 情报セキュリティインシデントであるかの评価
イ 被害の拡大防止を図るための応急措置の指示又は勧告を含む情报セキュリティインシデントへの対処全般に関する指示、勧告又は助言
ウ 文部科学省への连络
エ 外部専门机関等からの情报セキュリティインシデントに係る情报の収集
オ 他の机関等への情报セキュリティインシデントに係る情报の共有
カ 情报セキュリティインシデントへの対処に係る専门的知见の提供、対処作业の実施
6 最高情报セキュリティ责任者は、実务担当者を含めた実効性のある颁厂滨搁罢体制を构筑する。
7 最高情报セキュリティ责任者は、情报セキュリティインシデントが発生した际に、情报セキュリティインシデント対処に関する知见を有する外部の専门家等による必要な支援を速やかに得られる体制を构筑する。
8 最高情报セキュリティ责任者は、全学における情报セキュリティインシデント対処について、颁厂滨搁罢、情报セキュリティインシデントの当事者部局及びその他関连部局の役割分担を规定する。
9 本学病院におけるウィルス感染等の情报セキュリティインシデント対応については、本学病院において别に定める规程に従うこととする。
情报の取扱に係る规程の整备
第11条 情报の取扱いに係る规程を整备し、教职员及び学生等への周知を図る。
2 教职员等は、本学の教育研究业务の遂行に係る情报を取扱う际、「情报格付け基準」において规定されている手顺を遵守する
规程の改廃
第12条 この规程の改廃は、理事長の承認を得て行う。
附 则
この规程は、令和6年4月1日から施行する。