習志野市小・中学校情報セキュリティポリシー

習志野市小・中学校情報セキュリティポリシー
習志野市総合教育センター
【学校情報セキュリティ基本方針】
1. 目 的
習志野市小・中学校において各種の教育情報システムが取り扱う情報は、児童(生
徒)、保護者、教職員などの個人情報及び学校運営上の情報など、学校外に漏えい
等をした場合に極めて重大な結果を招くものが多数含まれている。
従って、情報資産及び情報資産を取り扱うネットワーク、情報機器及び情報シス
テムを様々な脅威から防御することは、学校の財産、プライバシーを守るためにも、
また、学校経営、校務の安定的な処理の上からも必要不可欠であり、また、このこ
とが各学校に対する市民の信頼の維持向上に寄与するものである。
そこで、児童(生徒)
、保護者、教職員などの個人情報及び学校運営上の重要な
教育情報を保護し、適切に管理・運用するための対策(情報セキュリティ対策)を
整備するために、習志野市小・中学校情報セキュリティポリシーを定める。
2. 学校情報セキュリティ管理体制
(1) 校長は、全ての学校情報セキュリティに関する権限及び責任を負うものとす
る。
(2) 教職員は、本学校情報セキュリティポリシーの内容を遵守しなければならな
い。
(3) 校務分掌に学校情報セキュリティ担当者(教頭等)を置く。
(4) 教職員は、校内で知りえた学校情報をいかなる場合も学校外で漏らしてはな
らない。
(5) 新任者については、学校情報セキュリティに関する研修を行い、受講させな
ければならない。
(6) 学校情報システムで使用するパスワードは、第三者に推測されにくいものと
し、その管理は、学校情報セキュリティ担当者の下で厳重に管理・運用する
ものとする。
3. 学校情報セキュリティポリシーの位置づけと教職員及び外部委託事業者の義務
学校情報セキュリティポリシーは、本市小・中学校が所掌する教育情報資産に
関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめ
たものであり、学校情報セキュリティ対策の頂点に位置するものである。
従って、本市小・中学校が所掌する学校情報資産に関する業務に携わるすべて
の教職員(臨時的任用講師・職員、一般職非常勤職員等を含む「以下、
「教職員等」
という。
」)及び外部委託事業者は、学校情報セキュリティの重要性について共通
の認識を持つとともに業務の遂行にあたって、本学校情報セキュリティポリシー
を遵守する義務を負うものとする。
1
4. 情報機器・ネットワークの管理
(1)学校情報セキュリティ担当者は、コンピュータ室並びにセキュリティUSBキ
ー(以下、「A-Locky」という)を利用してサーバ内のフォルダ管理を
行う。また、USBメモリやCD-R、FD等の入力記憶媒体(以下「記憶媒
体」という)を使用させてもよいが、それらの記憶媒体は、全て施錠し適切に
保管しなければならない。また,使用時は、校長の許可を得るものとする。
・「共通フォルダ」
「A-Locky」を利用して教職員全員が接続できるフォルダをいう。
児童生徒名簿等の担当教職員が使う個人情報ファイル、教職員が共通し
て使うファイルを保存しておく。
・「個人フォルダ」
「A-Locky」を利用して接続できる個人用フォルダをいう。
教職員のみが使う個人情報ファイルを保存しておく。
・「その他のフォルダ」(小学校にあっては「先生専用」フォルダ、中学校にあ
って「校務フォルダ」
)
「A-Locky」を利用しなくても接続できる個人用フォルダ。
児童・生徒の写真や個人情報を含まないデータなどを保存しておく。
(2)学校情報セキュリティ担当者は、学期末や学年末に共通フォルダの保存データ
の整理・削除を行い、個人フォルダの保存データの整理・削除を指導する。特
に、長期保存が必要なものを除き、転出児童・生徒や卒業生のデータの削除を
忘れずに行うものとする。
(3)公的パソコンをネットワークに接続する際には、学校情報セキュリティ担当者
が、次の条件がすべて整っているかどうかを点検した結果を勘案して、校長の
許可を受けなければならない。
① 次のOS(基本ソフト)が入っており、最新のサービスパックとウイル
ス対策ソフトがインストールされていること。(Windows7または8
Vista)
② 最新の Windows Update を、定期的に更新(自動更新)していること。
③ ウイルス対策ソフトを導入し、そのパターンファイルを常に最新のもの
にしていること。
④ 自動的に、毎日ウイルス対策ソフトを起動するように設定していること。
(4)上記(3)の事項を確認するために、定期的な資産管理サービス(以下、「PC
Scan」という)を準備しているので、そのサービスの利用も行うこと。
(5)学校情報セキュリティ担当者は、ネットワークに接続している公的なパソコン
を定期的にウイルスチェックし,ウイルスが発見された場合「クリーンナップ」
等、適切に処置するよう指導すること。
(6)個人用のパソコンをネットワークに接続してはならない。
(7)ネットワークに接続して使用するパソコンにソフトウェアをインストールする
場合やメモリ等を増設する場合は、校長及び教育委員会の許可を得なければな
らない。
(8)電子メール添付ファイルは必ずウイルスチェックを行うこと。
2
(9)校長より許可を得てUSBメモリ(含 UMCrypt)を使用する際には、事前
に必ずウイルスチェックを行うこと。
(10)ネットワークシステム等を勝手に改変してはならない。
(11)不正アクセス等を防止するため、学校情報システムを利用するすべての者は、
適切なパスワードの管理を行わなければならない。
(12)インターネットや電子メールの利用については、職務に関することに限定す
ること。
5. 学校情報資産への脅威
学校情報セキュリティポリシーを策定するうえで、学校情報資産を脅かす脅威
の発生度合いや発生した場合の影響を考慮すると、特に認識すべき事項は以下の
とおりである。
(1) 部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的
な要因による学校情報資産の破壊・盗聴・改ざん・複製・消去等
(2) 学校情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、プ
ログラム上の欠陥、操作ミス、故障等の非意図的要因による破壊・盗聴・改
ざん・複製・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
6. 個人情報の保護
(1)個人情報に関するデータは共通フォルダにのみ保存すること。パソコンや記
憶媒体に保存してはならない。
(2)児童・生徒に関する指導記録、名簿、成績などのデータをコピーまたは印刷
して、校外に持ち出してはならない。やむを得ず持ち出す場合には、校長の
許可を得た後、デジタルデータに関しては、必ずセキュリティ USB メモリ
(以下、
「UMCrypt」という。)を利用すること。
(3)校外に持ち出している間は、UMCrypt 内に保存して使用するものとし、利
用した後は、必ず学校サーバに戻し、UMCrypt 内の個人情報データを全て削
除した後、校長に報告すること。
(4)なお、校外のパソコンで UMCrypt を利用する際には、必ずウイルス対策ソ
フトを導入し、そのパターンファイルを常に最新の状態で利用すること。
7. その他の利用規程
(1)サーバの利用が終了した際には、適切な手順に従ってフォルダへの接続を切
断すること。
(2)席を離れる場合は、キーロック等の不正アクセス防止のための適切な処置を
講ずること。
(3)インターネット等を利用する際は、個人情報、肖像権、著作権を侵害しない
こと。
(4)ID、パスワードは適切に管理すること。
(5)インターネット等を利用する際は、インターネット・モラル(エチケット)
3
を心がけること。
(6)使用アプリケーション類(Word、 Excel、一太郎等)は、セキュリティホ
ールが改善された最新版に更新すること。
(7)「A-Locky」「UMCrypt」の本格稼働後は、記憶媒体を基本的に使用しない
こと。
8.運
用
(1)校長及び学校情報セキュリティ担当者は、本セキュリティポリシーが適正に
遵守されているか確認をすること。また、もしも重大なセキュリティポリシ
ー違反が明らかになった場合には、次の(2)に示す対応を迅速に行うこと。
(2)緊急時の対応については校長に報告すること。校長は速やかに教育委員会に
報告すること。また、学校情報セキュリティ担当者は、原因の特定、被害や
影響の範囲の把握、経過の記録などを行い、被害が拡大しないようネットワ
ークを停止し、ヘルプデスクへ連絡するなど的確な対応を行うこと。
9.評価・監査・見直しの実施
校長は、学校情報セキュリティが遵守されていることを検証するため、定
期的に又は必要に応じて、学校情報セキュリティ監査、又は自己点検を行う
こと。
学校情報セキュリティ監査の結果等により、学校情報セキュリティポリシ
ーに定める事項及び情報セキュリティ対策の評価をするとともに、学校情報
セキュリティを取り巻く状況の変化に対応するため、新たに対策が必要にな
った場合には、学校情報セキュリティポリシー及び運用の見直しを実施する
ものとする。
4