○下野市学校情報セキュリティ対策基準

令和3年7月19日

教育委員会訓令第6号

本対策基準は、市立の小学校、中学校及び義務教育学校(以下「学校」という。)が保有する情報資産を故意、過失、故障及び災害等の脅威から保護し、市民から信頼される学校を実現するための情報セキュリティ対策に関する基準である。

1 対象範囲及び用語説明

(1) 行政機関等の範囲

本対策基準が適用される行政機関等は、教育委員会及び学校とする。

(2) 情報資産の範囲

本対策基準が対象とする情報資産は、次のとおりとする。

① 教育ネットワーク、教育情報システム、これらに関する設備、電磁的記録媒体

② 教育ネットワーク及び教育情報システムで取り扱う情報(これらを印刷した文書を含む。)

③ 教育情報システムの仕様書及びネットワーク図等のシステム関連文書

(3) 用語説明

本対策基準における用語は、以下のとおりとする。

用語

定義

校務系情報

児童生徒の成績、出欠席及びその理由、健康診断結果、指導要録、教員の個人情報など、学校が保有する情報資産のうち、それら情報を学校・学級の管理運営、学習指導、生徒指導、生活指導等に活用することを想定しており、かつ、当該情報に児童生徒がアクセスすることが想定されていない情報

校務外部接続系情報

校務系情報のうち、保護者メールや学校ホームページ等インターネット接続を前提とした校務で利用される情報

学習系情報

児童生徒のワークシート、作品など、学校が保有する情報資産のうち、それら情報を学校における教育活動において活用することを想定しており、かつ、当該情報に教員及び児童生徒がアクセスすることが想定されている情報

校務用端末

校務系情報にアクセス可能な端末

校務外部接続用端末

校務外部接続系情報にアクセス可能な端末

学習者用端末

学習系情報にアクセス可能な端末で、児童生徒が利用する端末

指導者用端末

学習系情報にアクセス可能な端末で、教員のみが利用可能な端末

校務系システム

校務系ネットワーク、校務系サーバ及び校務用端末から構成される校務系情報を取り扱うシステム

校務外部接続系システム

校務外部接続系ネットワーク、メールサーバ、ホームページ運用サーバ(CMS)及び校務外部接続用端末等から構成される校務外部接続系情報を取り扱うシステム

学習系システム

学習系ネットワーク、学習系サーバ、学習者用端末及び指導者用端末から構成される学習系情報を取り扱うシステム

教育情報システム

校務系システム、校務外部接続系システム及び学習系システムを合わせた総称

校務系サーバ

校務系情報を取り扱うサーバ

校務外部接続系サーバ

校務外部接続系情報を取り扱うサーバ

学習系サーバ

学習系情報を取り扱うサーバ

2 組織体制

(1) 最高情報セキュリティ責任者(CISO:Chief Information Security Officer、以下「教育委員会CISO」という。)

① 副市長を、教育委員会CISOとする。教育委員会CISOは、本市における全ての教育ネットワーク、教育情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。

② 教育委員会CISOは、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家を最高情報セキュリティアドバイザーとして置き、その業務内容を定めるものとする。

(2) 統括教育情報セキュリティ責任者

① 教育長を、教育委員会CISO直属の統括教育情報セキュリティ責任者とする。統括教育情報セキュリティ責任者は、教育委員会CISOを補佐しなければならない。

② 統括教育情報セキュリティ責任者は、本市の全ての教育ネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

③ 統括教育情報セキュリティ責任者は、本市の全ての教育ネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。

④ 統括教育情報セキュリティ責任者は、教育情報セキュリティ責任者、教育情報セキュリティ管理者、教育情報システム管理者及び教育情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。

⑤ 統括教育情報セキュリティ責任者は、本市の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、教育委員会CISOの指示に従い、教育委員会CISOが不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。

⑥ 統括教育情報セキュリティ責任者は、本市の共通的な教育ネットワーク、教育情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。

⑦ 統括教育情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、教育委員会CISO、統括教育情報セキュリティ責任者、副統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者、教育情報システム管理者、教育情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。

⑧ 統括教育情報セキュリティ責任者は、緊急時には教育委員会CISOに早急に報告を行うとともに、回復のための対策を講じなければならない。

(3) 副統括教育情報セキュリティ責任者

① 教育次長を副統括教育情報セキュリティ責任者とする。

② 副統括教育情報セキュリティ責任者は、統括教育情報セキュリティ責任者を補佐し、統括教育情報セキュリティ責任者に事故あるときはその職務を代理する。

(4) 教育情報セキュリティ責任者

① 教育委員会事務局の情報セキュリティ担当部局(情報システム課等)の課室長を教育情報セキュリティ責任者とする。

② 教育情報セキュリティ責任者は、本市の教育情報セキュリティ対策に関する統括的な権限及び責任を有する。

③ 教育情報セキュリティ責任者は、本市において所有している教育情報システムにおける開発、設定の変更、運用、見直し等を行う際の情報セキュリティに関する統括的な権限及び責任を有する。

④ 教育情報セキュリティ責任者は、本市において所有している教育情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び教職員等(教職員、非常勤教職員及び臨時教職員をいう。以下同じ。)に対する教育、訓練、助言及び指示を行う。

(5) 教育情報セキュリティ管理者

① 校長を、教育情報セキュリティ管理者とする。

② 教育情報セキュリティ管理者は、当該学校の情報セキュリティ対策に関する権限及び責任を有する。

③ 教育情報セキュリティ管理者は、当該学校において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、教育情報セキュリティ責任者、副統括教育情報セキュリティ責任者、統括教育情報セキュリティ責任者及び教育委員会CISOへ速やかに報告を行い、指示を仰がなければならない。

(6) 教育情報システム管理者

① 教育委員会の情報システム担当部局の課室長を、教育情報システムに関する教育情報システム管理者とする。

② 教育情報システム管理者は、所管する教育情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

③ 教育情報システム管理者は、所管する教育情報システムにおける情報セキュリティに関する権限及び責任を有する。

④ 教育情報システム管理者は、所管する教育情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

(7) 教育情報システム担当者

① 教育委員会の情報システム担当部局の課室職員を、教育情報システムに関する教育情報システム担当者とする。

② 教育情報システム担当者は、教育情報システム管理者の指示等に従い、教育情報システムの開発、設定の変更、運用、更新等の作業を行う。

(8) 情報セキュリティ委員会

① 本市の情報セキュリティ対策を統一的に行うため、情報セキュリティ委員会を設置し、当該委員会において、情報セキュリティポリシー等、学校情報セキュリティに関する重要な事項を決定する。

② 情報セキュリティ委員会は、毎年度、本市における情報セキュリティ対策の改善計画を策定し、その実施状況を確認しなければならない。

(9) 兼務の禁止

① 情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。

② 監査を受ける者とその監査を実施する者は、やむを得ない場合を除き、同じ者が兼務してはならない。

(10) 情報セキュリティに関する統一的な窓口の設置

① 教育委員会CISOは、情報セキュリティインシデントの統一的な窓口の機能を有する組織を整備し、情報セキュリティインシデントについて部局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備する。

② 教育委員会CISOによる情報セキュリティ戦略の意思決定が行われた際には、その内容を関係部局等に提供する。

③ 情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知・公表対応を行わなければならない。

④ 情報セキュリティに関して、関係機関や他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、外部の事業者等との情報共有を行う。

3 情報資産の分類と管理方法

(1) 情報資産の分類

本市における情報資産は、機密性、完全性及び可用性により、次のとおり分類し、必要に応じて取扱制限を行うものとする。

機密性による情報資産の分類

分類

分類基準

該当する情報資産のイメージ

機密性3

学校で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産

特定の教職員のみが知り得る状態を確保する必要のある情報で秘密文書に相当するもの

機密性2B

学校で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産

教職員のみが知り得る状態を確保する必要がある情報資産(教職員のうち特定の教職員のみが知り得る状態を確保する必要があるものを含む。)

機密性2A

学校で取り扱う情報資産のうち、直ちに一般に公表することを前提としていないが、児童生徒がアクセスすることを想定している情報資産

教職員及び児童生徒同士のみが知り得る状態を確保する必要がある情報資産(教職員及び児童生徒のうち特定の教職員及び児童生徒のみが知り得る状態を確保する必要があるものを含む。)

機密性1

機密性2A、機密性2B又は機密性3の情報資産以外の情報資産

公表されている情報資産又は公表することを前提として作成された情報資産(教職員及び児童生徒以外の者が知り得ても支障がないと認められるものを含む。)

完全性による情報資産の分類

分類

分類基準

該当する情報資産のイメージ

完全性2B

学校で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、学校関係者の権利が侵害され、又は学校事務及び教育活動の的確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産

情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に支障がある情報

完全性2A

学校で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、学校関係者の権利が侵害され、又は学校事務及び教育活動の的確な遂行に軽微な支障を及ぼすおそれがある情報資産

情報が正確・完全な状態である必要があり、破壊、改ざん、破損又は第三者による削除等の事故があった場合、業務の遂行に軽微な支障がある情報

完全性1

完全性2A又は完全性2Bの情報資産以外の情報資産

事故があった場合でも業務の遂行に支障がない情報

可用性による情報資産の分類

分類

分類基準

該当する情報資産のイメージ

可用性2B

学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害され、又は学校事務及び教育活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産

必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に支障がある情報

可用性2A

学校で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、学校関係者の権利が侵害され、又は学校事務及び教育活動の安定的な遂行に軽微な支障を及ぼすおそれがある情報資産

必要な時にいつでも利用できる必要があり、情報システムの障害等による滅失紛失や、情報システムの停止等があった場合、業務の安定的な遂行に軽微な支障がある情報

可用性1

可用性2A又は可用性2Bの情報資産以外の情報資産

滅失、紛失や情報システムの停止等があっても業務の遂行に支障がない情報

(2) 情報資産の管理

① 管理責任

(ア) 教育情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。

(イ) 情報資産が複製又は伝送された場合には、複製等された情報資産も(1)の分類に基づき管理しなければならない。

② 情報資産の分類の表示

教職員等は、情報資産について、ファイル(ファイル名、ファイルの属性(プロパティ)、ヘッダー・フッター等)、格納する電磁的記録媒体のラベル、文書の隅等に、情報資産の分類を表示し、必要に応じて取扱制限についても明示する等適切な管理を行わなければならない。

③ 情報の作成

(ア) 教職員等は、業務上必要のない情報を作成してはならない。

(イ) 情報を作成する者は、情報の作成時に(1)の分類に基づき、当該情報の分類と取扱制限を定めなければならない。

(ウ) 情報を作成する者は、作成途上の情報についても、紛失や流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。

④ 情報資産の入手

(ア) 学校内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

(イ) 学校外の者が作成した情報資産を入手した者は、(1)の分類に基づき、当該情報の分類と取扱制限を定めなければならない。

(ウ) 情報資産を入手した者は、その情報資産の分類が不明な場合、教育情報セキュリティ管理者に判断を仰がなければならない。

⑤ 情報資産の利用

(ア) 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

(イ) 情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。

(ウ) 情報資産を利用する者は、電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体を取り扱わなければならない。

⑥ 情報資産の保管

(ア) 教育情報セキュリティ管理者又は教育情報システム管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。

(イ) 教育情報セキュリティ管理者又は教育情報システム管理者は、情報資産を記録したUSBメモリ等の外部電磁的記録媒体を保管する場合は、外部電磁的記録媒体への書込禁止の措置を講じなければならない。

(ウ) 教育情報セキュリティ管理者又は教育情報システム管理者は、情報システムのバックアップで取得したデータを記録する電磁的記録媒体を保管する場合は、自然災害を被る可能性が低い地域に保管しなければならない。

(エ) 教育情報セキュリティ管理者又は教育情報システム管理者は、機密性2A以上、完全性2A以上又は可用性2A以上の情報を記録した電磁的記録媒体を保管する場合、耐火、耐震、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

⑦ 情報の送信

電子メールにより機密性2A以上の情報を外部送信する者は、暗号化又はパスワード設定を行わなければならない。

⑧ 情報資産の運搬

(ア) 車両等により機密性2A以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

(イ) 機密性2A以上の情報資産を運搬する者は、教育情報セキュリティ管理者に許可を得なければならない。

⑨ 情報資産の提供・公表

(ア) 機密性2A以上の情報資産を外部に提供する者は、暗号化又はパスワードの設定を行わなければならない。

(イ) 機密性2A以上の情報資産を外部に提供する者は、教育情報セキュリティ管理者に許可を得なければならない。

(ウ) 教育情報セキュリティ管理者及び教育情報システム管理者は、住民に公開する情報資産について、完全性を確保しなければならない。

⑩ 情報資産の廃棄

(ア) 機密性2A以上の情報資産を廃棄する者は、情報を記録している電磁的記録媒体が不要になった場合、電磁的記録媒体の初期化等、情報を復元できないように処置した上で廃棄しなければならない。

(イ) 情報資産の廃棄を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。

(ウ) 情報資産の廃棄を行う者は、教育情報セキュリティ管理者の許可を得なければならない。

4.物理的セキュリティ

4.1.サーバ等の管理

(1) 機器の取付け

教育情報システム管理者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。

(2) サーバの冗長化

① 教育情報システム管理者は、校務系サーバその他の校務系情報を格納しているサーバを冗長化し、同一データを保持しなければならない。また、メインサーバに障害が発生した場合に、速やかにセカンダリサーバを起動し、システムの運用停止時間を最小限にしなければならない。

② 教育情報システム管理者は、学習系サーバその他の学習系情報を格納しているサーバのハードディスクを冗長化しなければならない。

(3) 機器の電源

① 教育情報システム管理者は、統括教育情報セキュリティ責任者及び施設管理部門と連携し、校務系サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

② 教育情報システム管理者は、統括教育情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。

(4) 通信ケーブル等の配線

① 統括教育情報セキュリティ責任者及び教育情報システム管理者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

② 統括教育情報セキュリティ責任者及び教育情報システム管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。

③ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適切に管理しなければならない。

④ 統括教育情報セキュリティ責任者、教育情報システム管理者は、自ら又は教育情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更又は追加できないように必要な措置を施さなければならない。

(5) 機器の定期保守及び修理

① 教育情報システム管理者は、可用性2A以上のサーバ等の機器の定期保守を実施しなければならない。

② 教育情報システム管理者は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合、内容を消去した状態で行わせなければならない。内容を消去できない場合、教育情報システム管理者は、外部の事業者に故障を修理させるに当たり、修理を委託する事業者との間で、守秘義務契約を締結するとともに、秘密保持体制の確認等を行わなければならない。

(6) 施設外又は学校庁外への機器の設置

統括教育情報セキュリティ責任者及び教育情報システム管理者は、施設外又は学校外にサーバ等の機器を設置する場合、教育委員会CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

(7) 機器の廃棄等

教育情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

4.2.管理区域(情報システム室等)の管理

(教育委員会等のサーバ室にサーバを設置している場合)

(1) 管理区域の構造等

① 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「情報システム室」という。)や電磁的記録媒体の保管庫をいう。

② 統括教育情報セキュリティ責任者及び教育情報システム管理者は、管理区域を地階又は1階に設けてはならない。また、外部からの侵入が容易にできないように無窓の外壁にしなければならない。

③ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。

④ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、情報システム室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

⑤ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、施設管理部門と連携して、管理区域を囲む外壁等の床下開口部を全て塞がなければならない。

⑥ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、管理区域に配置する消火薬剤、消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

(2) 管理区域の入退室管理等

① 教育情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証や入退室管理簿の記載による入退室管理を行わなければならない。

② 職員等及び外部委託事業者に管理区域への入室を許可する場合は、これらの者に身分証明書等を携帯させ、必要に応じてその提示を求めなければならない。

③ 教育情報システム管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立入区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。

④ 教育情報システム管理者は、機密性2B以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。

(3) 機器等の搬入出

① 教育情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は外部委託事業者に確認を行わせなければならない。

② 教育情報システム管理者は、情報システム室の機器等の搬入出について、職員を立ち会わせなければならない。

(学校にサーバを設置している場合)

(1) 管理区域の構造等

① 管理区域とは、情報システム室や電磁的記録媒体の保管庫をいう。

② 統括教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワークの基幹機器及び重要な情報システムについて、サーバラックに固定した上で、サーバラックの施錠管理を行わなければならない。

③ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、サーバラックを、立入りを許可されていない不特定多数の者が出入りできる場所に設置してはならない。

④ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。

⑤ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、情報システム室内の機器等に、転倒、落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

⑥ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、管理区域に配置する消火薬剤、消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

(2) 管理区域の入退室管理等

① 教育情報システム管理者は、管理区域への入退室を許可された者のみに制限しなければならない。

② 教育情報システム管理者は、サーバラックの施錠管理に当たり、管理簿の記載等による管理を行わなければならない。

③ 教職員は、児童生徒が管理区域に入室する場合、必要に応じて立入区域を制限した上で、児童生徒に付き添うものとする。

④ 外部委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。

⑤ 教育情報システム管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立入区域を制限した上で、管理区域への入退室を許可された教職員等が付き添うものとし、外見上教職員等と区別できる措置を講じなければならない。

(3) 機器等の搬入出

① 教育情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ委託した業者に確認を行わせなければならない。

② 教育情報システム管理者は、情報システム室の機器等の搬入出について、教職員を立ち会わせなければならない。

4.3.通信回線及び通信回線装置の管理

① 統括教育情報セキュリティ責任者は、施設内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

② 統括教育情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

③ 統括教育情報セキュリティ責任者は、機密性2A以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。

④ 統括教育情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。

⑤ 統括教育情報セキュリティ責任者は、可用性2B以上の情報資産を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。

4.4.教職員等の利用する端末や電磁的記録媒体等の管理

(校務用端末、校務外部接続用端末及び指導者用端末について)

① 教育情報システム管理者は、盗難防止のため、職員室等で利用する校務用端末及び校務外部接続用端末のワイヤーによる固定、教室等で使用する指導者用端末の保管庫による管理等、使用する目的に応じた適切な物理的措置を講じなければならない。電磁的記録媒体については、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。

② 教育情報システム管理者は、情報システムへのログインパスワードの入力を必要とするように設定しなければならない。

③ 教育情報システム管理者は、端末の電源起動時のパスワード(BIOSパスワード、ハードディスクパスワード等)を設定しなければならない。

④ 教育情報システム管理者は、取り扱う情報の重要度に応じてパスワード以外に生体認証、物理認証等の二要素認証を設定しなければならない。

⑤ 教育情報システム管理者は、パソコン、モバイル端末等におけるデータの暗号化等の機能を有効に利用しなければならない。端末にセキュリティチップが搭載されている場合、その機能を有効に活用しなければならない。同様に、電磁的記録媒体についてもデータ暗号化機能を備える媒体を使用しなければならない。

⑥ 教育情報システム管理者は、モバイル端末の学校外での業務利用の際は、上記対策に加え、遠隔消去機能を利用する等の措置を講じなければならない。

⑦ 教育情報システム管理者は、パソコンやモバイル端末におけるマルウェア感染の脅威に対し、ウイルス対策ソフトの導入等の対策を講じなければならない。なお、OSによっては標準的にウイルス対策ソフトを備えている製品、OSとしてウイルス感染のリスクが低い仕組みとなっている製品などもあるため、実際に運用する端末において適切な対策を講じること。

⑧ 教育情報システム管理者は、インターネットへ接続をする場合、教職員等のパソコン、モバイル端末に対して不適切なウェブページの閲覧を防止する対策を講じなければならない。

(学習者用端末について)

① 教育情報システム管理者は、盗難防止のため、教室等で利用するパソコンの保管庫による管理等の物理的措置を講じなければならない。電磁的記録媒体については、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。

② 教育情報システム管理者は、情報システムへのログインパスワードの入力を必要とするように設定しなければならない。

5.人的セキュリティ

5.1.教職員等の遵守事項

(1) 教職員等の遵守事項

① 教育情報セキュリティポリシー等の遵守

教職員等は、教育情報セキュリティポリシー及び実施手順を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに教育情報セキュリティ管理者に相談し、指示を仰がなければならない。

② 業務以外の目的での使用の禁止

教職員等は、業務以外の目的で情報資産の外部への持出し、教育情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

③ モバイル端末、電磁的記録媒体等の持出し及び教育委員会・学校が構築・管理している環境(学校外での利用が認められている情報端末等を含む環境)の外部における情報処理作業の制限

(ア) 教育委員会CISOは、機密性2B以上、可用性2B以上、完全性2B以上の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

(イ) 教職員等は、学校のモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、教育情報セキュリティ管理者の許可を得なければならない。

(ウ) 教職員等は、外部で情報処理業務を行う場合には、教育情報セキュリティ管理者の許可を得なければならない。

④ 支給以外のパソコン、モバイル端末、電磁的記録媒体等の業務利用

(ア) 教職員等は、支給以外のパソコン、モバイル端末、電磁的記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、教育情報セキュリティ管理者の許可を得て利用することができる。

(イ) 教職員等は、支給以外のパソコン、モバイル端末、電磁的記録媒体等を用いる場合には、教育情報セキュリティ管理者の許可を得た上で、外部で情報処理作業を行う際に安全管理措置を遵守しなければならない。

⑤ 持出し及び持込みの記録

教育情報セキュリティ管理者は、端末等の持出し及び持込みについて、記録を作成し、保管しなければならない。

⑥ パソコン及びモバイル端末におけるセキュリティ設定変更の禁止

教職員等は、パソコン及びモバイル端末のソフトウェアに関するセキュリティ機能の設定を教育情報セキュリティ管理者の許可なく変更してはならない。

⑦ 机上の端末等の管理

教職員等は、パソコン、モバイル端末、電磁的記録媒体、情報が印刷された文書等について、第三者に使用されること又は教育情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時のパソコン及びモバイル端末のロック、電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。

⑧ 退職時等の遵守事項

教職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。

(2) 非常勤及び臨時の教職員への対応

① 教育情報セキュリティポリシー等の遵守

教育情報セキュリティ管理者は、非常勤及び臨時の教職員に対し、採用時に教育情報セキュリティポリシー等のうち、非常勤及び臨時の教職員が守るべき内容を理解させ、実施させ、及び遵守させなければならない。

② 教育情報セキュリティポリシー等の遵守に対する同意

教育情報セキュリティ管理者は、非常勤及び臨時の教職員の採用の際、必要に応じ、教育情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。

③ インターネット接続及び電子メール使用等の制限

教育情報セキュリティ管理者は、非常勤及び臨時の教職員にパソコン又はモバイル端末による作業を行わせる場合において、インターネットへの接続、電子メールの使用等が不要の場合、これを利用できないようにしなければならない。

(3) 情報セキュリティポリシー等の掲示

教育情報セキュリティ管理者は、教職員等が常に教育情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。

(4) 外部委託事業者に対する説明

教育情報システム管理者は、ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

5.2.研修・訓練

(1) 情報セキュリティに関する研修・訓練

教育委員会CISOは、定期的に情報セキュリティに関する研修・訓練を実施しなければならない。

(2) 研修計画の策定及び実施

① 教育委員会CISOは、教職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行い、情報セキュリティ委員会の承認を得なければならない。

② 研修計画において、教職員等は、毎年度最低1回は情報セキュリティ研修を受講できるようにしなければならない。

③ 教育委員会CISOは、新規採用の教職員等を対象とする情報セキュリティに関する研修を実施しなければならない。

④ 研修は、統括教育情報セキュリティ責任者、副統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者、教育情報システム管理者、教育情報システム担当者及びその他教職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。

⑤ 教育委員会CISOは、毎年度1回、情報セキュリティ委員会に対して、教職員等の情報セキュリティ研修の実施状況について報告しなければならない。

(3) 緊急時対応訓練

教育委員会CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、かつ、効果的に実施できるようにしなければならない。

(4) 研修・訓練への参加

全ての教職員等は、定められた研修・訓練に参加しなければならない。

5.3.情報セキュリティインシデントの報告

(1) 学校内からの情報セキュリティインシデントの報告

① 教職員等は、情報セキュリティインシデントを認知した場合、速やかに教育情報セキュリティ管理者に報告しなければならない。

② 報告を受けた教育情報セキュリティ管理者は、速やかに統括教育情報セキュリティ責任者、教育情報システム管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。

③ 教育情報セキュリティ管理者は、報告のあった情報セキュリティインシデントについて、必要に応じて教育委員会CISO及び教育情報セキュリティ責任者に報告しなければならない。

(2) 住民等外部からの情報セキュリティインシデントの報告

① 教職員等は、管理対象のネットワーク及び教育情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合、教育情報セキュリティ管理者に報告しなければならない。

② 報告を受けた教育情報セキュリティ管理者は、速やかに統括教育情報セキュリティ責任者及び教育情報システム管理者に報告しなければならない。

③ 教育情報セキュリティ管理者は、当該情報セキュリティインシデントについて、必要に応じて教育委員会CISO及び教育情報セキュリティ責任者に報告しなければならない。

④ 教育委員会CISOは、教育情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。

(3) 情報セキュリティインシデント原因の究明・記録、再発防止等

① 統括教育情報セキュリティ責任者は、情報セキュリティインシデントについて、教育情報セキュリティ管理者、教育情報システム管理者及び情報セキュリティに関する統一的な窓口と連携し、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。また、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、教育委員会CISOに報告しなければならない。

② 教育委員会CISOは、統括教育情報セキュリティ責任者から、情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

5.4.ID、パスワード等の管理

(1) IDの取扱い

教職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。

① 自己が利用しているIDは、他人に利用させてはならない。

② 共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。

(2) パスワードの取扱い

教職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

① パスワードは、他者に知られないように管理しなければならない。

② パスワードを秘密にし、パスワードの照会等には一切応じてはならない。

③ パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。

④ パスワードが流出したおそれがある場合には、教育情報セキュリティ管理者に速やかに報告し、パスワードを速やかに変更しなければならない。

⑤ パスワードは定期的に又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。

⑥ 複数の教育情報システムを扱う教職員等は、同一のパスワードを複数のシステム間で用いてはならない。

⑦ 仮のパスワードは、最初のログイン時点で変更しなければならない。

⑧ パソコン等の端末にパスワードを記憶させてはならない。

⑨ 教職員等間でパスワードを共有してはならない。

6.技術的セキュリティ

6.1.コンピュータ及びネットワークの管理

(1) 文書サーバ及び端末の設定等

① 教育情報システム管理者は、教職員等が使用できる文書サーバの容量を設定し、教職員等に周知しなければならない。

② 教育情報システム管理者は、文書サーバを学校等の単位で構成し、教職員等が他の学校等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。

③ 教育情報システム管理者は、住民の個人情報、人事記録等、特定の教職員等しか取り扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一学校等であっても、担当職員以外の教職員等が閲覧及び使用できないようにしなければならない。

④ 教育情報システム管理者は、インターネット接続を前提とする校務外部接続系サーバ及び学習系サーバに保管する情報(学習系サーバにおいては、機微な個人情報を保管する場合に限る。)については、標的型攻撃等によるファイルの外部流出の可能性を考慮し、ファイル暗号化等による安全管理措置を講じなければならない。

(2) バックアップの実施

統括教育情報セキュリティ責任者及び教育情報システム管理者は、サーバの冗長化対策にかかわらず、ファイルサーバ等に記録された校務系情報、公務外部接続系情報及び学習系情報について、必要に応じて定期的にバックアップを実施しなければならない。

(3) 他団体との情報システムに関する情報等の交換

教育情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、統括教育情報セキュリティ責任者及び教育情報セキュリティ責任者の許可を得なければならない。

(4) システム管理記録及び作業の確認

① 教育情報システム管理者は、所管する教育情報システムの運用において実施した作業について、作業記録を作成しなければならない。

② 統括教育情報セキュリティ責任者及び教育情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適切に管理しなければならない。

③ 統括教育情報セキュリティ責任者、教育情報システム管理者又は教育情報システム担当者及び契約により操作を認められた外部委託事業者がシステム変更等の作業を行う場合は、2人以上で作業し、互いにその作業を確認しなければならない。

(5) 情報システム仕様書等の管理

統括教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワーク構成図、情報システム仕様書等について、記録媒体にかかわらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適切に管理しなければならない。

(6) ログの取得等

① 統括教育情報セキュリティ責任者及び教育情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

② 統括教育情報セキュリティ責任者及び教育情報システム管理者は、ログとして取得する項目、保存期間、取扱方法、ログが取得できなくなった場合の対処等について定め、適切にログを管理しなければならない。

③ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

(7) 障害記録

統括教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等からのシステム障害の報告、システム障害に対する処理結果、問題等を、障害記録として記録し、適切に保存しなければならない。

(8) ネットワークの接続制御、経路制御等

① 統括教育情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、所管するネットワークの内部におけるファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

② 統括教育情報セキュリティ責任者は、不正アクセスを防止するため、所管するネットワークに適切なアクセス制御を施さなければならない。

(9) 外部の者が利用できるシステムの分離等

教育情報システム管理者は、電子申請の汎用受付システム等の外部の者が利用できるシステムについて、必要に応じ教育ネットワーク及び教育情報システムと物理的に分離する等の措置を講じなければならない。

(10) 外部ネットワークとの接続制限等

① 教育情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、教育委員会CISO及び統括教育情報セキュリティ責任者の許可を得なければならない。

② 教育情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内及び学校の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

③ 教育情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん、システムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

④ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、教育ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

⑤ 教育情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括教育情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

(11) 複合機のセキュリティ管理

① 統括教育情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。

② 統括教育情報セキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより、運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

③ 統括教育情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

(12) 特定用途機器のセキュリティ管理

統括教育情報セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。

(13) 無線LAN及びネットワークの盗聴対策

① 統括教育情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

② 統括教育情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

(14) 電子メールのセキュリティ管理

① 統括教育情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

② 統括教育情報セキュリティ責任者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止しなければならない。

③ 統括教育情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

④ 統括教育情報セキュリティ責任者は、教職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を教職員等に周知しなければならない。

⑤ 統括教育情報セキュリティ責任者は、システム開発、運用、保守等のため施設内に常駐している外部委託事業者の作業員による電子メールアドレス利用について、外部委託事業者との間で利用方法を取り決めなければならない。

⑥ 統括教育情報セキュリティ責任者は、教職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように、添付ファイルの監視等システム上の措置をしなければならない。

(15) 電子メールの利用制限

① 教職員等は、自動転送機能を用いて、電子メールを転送してはならない。

② 教職員等は、業務上必要のない送信先に電子メールを送信してはならない。

③ 教職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

④ 教職員等は、重要な電子メールを誤送信した場合、教育情報セキュリティ管理者に報告しなければならない。

⑤ 教職員等は、ウェブで利用できるフリーメールサービス等を統括教育情報セキュリティ責任者の許可無しに使用してはならない。

(16) 電子署名・暗号化

① 教職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、教育委員会CISOが定めた電子署名、暗号化、パスワード設定等、セキュリティを考慮して送信しなければならない。

② 教職員等は、暗号化を行う場合に教育委員会CISOが定める以外の方法を用いてはならない。また、教育委員会CISOが定めた方法で暗号のための鍵を管理しなければならない。

③ 教育委員会CISOは、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。

(17) 無許可ソフトウェアの導入等の禁止

① 教職員等は、パソコンやモバイル端末に無断でソフトウェアを導入してはならない。

② 教職員等は、業務上の必要がある場合は、統括教育情報セキュリティ責任者及び教育情報システム管理者の許可を得て、ソフトウェアを導入することができる。なお、導入する際は、教育情報セキュリティ管理者又は教育情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。

③ 教職員等は、不正にコピーしたソフトウェアを利用してはならない。

(18) 機器構成の変更の制限

① 教職員等は、パソコンやモバイル端末に対し機器の改造及び増設・交換を行ってはならない。

② 教職員等は、業務上、パソコンやモバイル端末に対し機器の改造及び増設・交換を行う必要がある場合には、統括教育情報セキュリティ責任者及び教育情報システム管理者の許可を得なければならない。

(19) 無許可でのネットワーク接続の禁止

教職員等は、統括教育情報セキュリティ責任者の許可なくパソコンやモバイル端末をネットワークに接続してはならない。

(20) 業務以外の目的でのウェブ閲覧の禁止

① 教職員等は、業務以外の目的でウェブを閲覧してはならない。

② 統括教育情報セキュリティ責任者は、教職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、教育情報セキュリティ管理者に通知し適切な措置を求めなければならない。

6.2.アクセス制御

(1) アクセス制御等

① アクセス制御

統括教育情報セキュリティ責任者又は教育情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない教職員等がアクセスできないように、システム上制限しなければならない。

② 利用者IDの取扱い

(ア) 統括教育情報セキュリティ責任者及び教育情報システム管理者は、利用者の登録、変更、抹消等の情報管理、教職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。

(イ) 教職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、統括教育情報セキュリティ責任者又は教育情報システム管理者に通知しなければならない。

(ウ) 統括教育情報セキュリティ責任者及び教育情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。

③ 特権を付与されたIDの管理等

(ア) 統括教育情報セキュリティ責任者及び教育情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

(イ) 統括教育情報セキュリティ責任者及び教育情報システム管理者の特権を代行する者は、統括教育情報セキュリティ責任者及び教育情報システム管理者が指名し、教育委員会CISOが認めた者でなければならない。

(ウ) 教育委員会CISOは、代行者を認めた場合、速やかに統括教育情報セキュリティ責任者、副統括教育情報セキュリティ責任者、教育情報セキュリティ責任者、教育情報セキュリティ管理者及び教育情報システム管理者に通知しなければならない。

(エ) 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。

(オ) 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたID及びパスワードについて、その他利用者よりもパスワードの有効期限を短くする、入力回数制限を設ける等のセキュリティ機能を強化しなければならない。

(カ) 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。

(キ) 統括教育情報セキュリティ責任者及び教育情報システム管理者は、特権を付与されたIDのログ監視を行わなければならない。

(2) 教職員等による外部からのアクセス等の制限

① 教職員等が外部から内部のネットワーク又は情報システムにアクセスする場合は、統括教育情報セキュリティ責任者及び当該情報システムを管理する教育情報システム管理者の許可を得なければならない。

② 統括教育情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

③ 統括教育情報セキュリティ責任者は、組織外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。

④ 統括教育情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

⑤ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、外部からのアクセスに利用するモバイル端末を教職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

⑥ 教職員等は、持ち込んだ又は外部から持ち帰ったモバイル端末を施設内のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認しなければならない。

⑦ 統括教育情報セキュリティ責任者は、公衆通信回線(公衆無線LAN等)を教育ネットワークに接続することは原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID及びパスワード、生体認証に係る情報等の認証情報及びこれを記録した媒体(ICカード等)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。

(3) 自動識別の設定

統括教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。

(4) ログイン時の表示等

教育情報システム管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定、ログイン・ログアウト時刻の表示等により、正当なアクセス権を持つ教職員等がログインしたことを確認することができるようシステムを設定しなければならない。

(5) パスワードに関する情報の管理

① 統括教育情報セキュリティ責任者又は教育情報システム管理者は、教職員等のパスワードに関する情報を厳重に管理しなければならない。パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

② 統括教育情報セキュリティ責任者又は教育情報システム管理者は、教職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。

(6) 特権による接続時間の制限

教育情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

6.3.システム開発、導入、保守等

(1) 情報システムの調達

① 統括教育情報セキュリティ責任者及び教育情報システム管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

② 統括教育情報セキュリティ責任者及び教育情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

(2) 情報システムの開発

① システム開発における責任者及び作業者の特定

教育情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。また、システム開発のための規則を確立しなければならない。

② システム開発における責任者及び作業者のIDの管理

(ア) 教育情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。

(イ) 教育情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならない。

③ システム開発に用いるハードウェア及びソフトウェアの管理

(ア) 教育情報システム管理者は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

(イ) 教育情報システム管理者は、利用を認めたソフトウェア以外のソフトウェアが導入されている場合、当該ソフトウェアをシステムから削除しなければならない。

(3) 情報システムの導入

① 開発環境と運用環境の分離及び移行手順の明確化

(ア) 教育情報システム管理者は、システム開発、保守及びテスト環境とシステム運用環境を分離しなければならない。

(イ) 教育情報システム管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。

(ウ) 教育情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

(エ) 教育情報システム管理者は、導入するシステムやサービスの可用性が確保されていることを確認した上で導入しなければならない。

② テスト

(ア) 教育情報システム管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験を行わなければならない。

(イ) 教育情報システム管理者は、運用テストを行う場合、あらかじめ擬似環境による操作確認を行わなければならない。

(ウ) 教育情報システム管理者は、個人情報及び機密性の高い生データを、テストデータに使用してはならない。

(エ) 教育情報システム管理者は、開発したシステムについて受入テストを行う場合、開発した組織と導入する組織が、それぞれ独立したテストを行わなければならない。

(オ) 教育情報システム管理者は、運用環境への移行に先立ち、システムの脆弱性テストを行い、その結果を確認しなければならない。

(4) システム開発・保守に関連する資料等の整備及び保管

① 教育情報システム管理者は、システム開発・保守に関連する資料及びシステム関連文書を適切に整備し、及び保管しなければならない。

② 教育情報システム管理者は、テスト結果を一定期間保管しなければならない。

③ 教育情報システム管理者は、情報システムに係るソースコードを適切な方法で保管しなければならない。

(5) 情報システムにおける入出力データの正確性の確保

① 教育情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

② 教育情報システム管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

③ 教育情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

(6) 情報システムの変更管理

教育情報システム管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。

(7) 開発・保守用のソフトウェアの更新等

教育情報システム管理者は、開発・保守用のソフトウェア等を更新又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。

(8) システム更新又は統合時の検証等

教育情報システム管理者は、システム更新・統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新・統合後の業務運営体制の検証を行わなければならない。

6.4.不正プログラム対策

(1) 統括教育情報セキュリティ責任者の措置事項

統括教育情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。

① 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。

② 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。

③ コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ教職員等に対して注意喚起しなければならない。

④ 所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。

⑤ 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。

⑥ 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。

⑦ 業務で利用するソフトウェアは、パッチやバージョンアップ等の開発元のサポートが終了したソフトウェアを利用してはならない。

(2) 教育情報システム管理者の措置事項

教育情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。

① 教育情報システム管理者は、その所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアをシステムに常駐させなければならない。

② 不正プログラム対策のソフトウェア及びパターンファイルは、常に最新の状態に保たなければならない。

③ インターネットに接続していないシステムにおいて、電磁的記録媒体を使う場合、コンピュータウイルス等の感染を防止するために、市が管理している電磁的記録媒体以外を教職員等に利用させてはならない。また、不正プログラムの感染又は侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。

(3) 教職員等の遵守事項

教職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。

① パソコンやモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更してはならない。

② 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックを行わなければならない。

③ 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除しなければならない。

④ 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。

⑤ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。

⑥ 統括教育情報セキュリティ責任者が提供するウイルス情報を、常に確認しなければならない。

⑦ コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、以下の対応を行わなければならない。

(ア) パソコン等の端末の場合

LANケーブルの即時取外しを行わなければならない。

(イ) モバイル端末の場合

直ちに利用を中止し、通信を行わない設定への変更を行わなければならない。

(4) 専門家の支援体制

統括教育情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

6.5.不正アクセス対策

(1) 統括教育情報セキュリティ責任者の措置事項

統括教育情報セキュリティ責任者は、不正アクセス対策として、以下の事項を措置しなければならない。

① 使用されていないポートを閉鎖しなければならない。

② 不要なサービスについて、機能を削除又は停止しなければならない。

③ 不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、統括教育情報セキュリティ責任者及び教育情報システム管理者へ通報するよう、設定しなければならない。

④ 重要なシステムの設定を行ったファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。

⑤ 統括教育情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口並びに適切な対応などを実施できる体制及び連絡網を構築しなければならない。

(2) 攻撃の予告

教育委員会CISO及び統括教育情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。

(3) 記録の保存

教育委員会CISO及び統括教育情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(4) 内部からの攻撃

統括教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等及び外部委託事業者が使用しているパソコン等の端末からの所管するネットワークのサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

(5) 教職員等による不正アクセス

統括教育情報セキュリティ責任者及び教育情報システム管理者は、教職員等による不正アクセスを発見した場合は、当該教職員等が所属する学校等の教育情報セキュリティ管理者に通知し、適切な処置を求めなければならない。

(6) サービス不能攻撃

統括教育情報セキュリティ責任者及び教育情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

(7) 標的型攻撃

統括教育情報セキュリティ責任者及び教育情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。

6.6.セキュリティ情報の収集

(1) セキュリティホールに関する情報の収集及び共有、ソフトウェアの更新等

統括教育情報セキュリティ責任者及び教育情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じて関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。

(2) 不正プログラム等のセキュリティ情報の収集及び周知

統括教育情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じて対応方法について、教職員等に周知しなければならない。

(3) 情報セキュリティに関する情報の収集及び共有

統括教育情報セキュリティ責任者及び教育情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境、技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

7.運用

7.1.情報システムの監視

① 統括教育情報セキュリティ責任者及び教育情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。

② 統括教育情報セキュリティ責任者及び教育情報システム管理者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

③ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、機密性2B以上、完全性2B以上、可用性2B以上の情報資産を格納する校務系システム及び校務外部接続系システムを常時監視しなければならない。

④ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、機密性2A、完全性2A、可用性2Aの情報資産を格納する学習系システムを常時監視しなければならない。

7.2.情報セキュリティポリシーの遵守状況の確認

(1) 遵守状況の確認及び対処

① 教育情報セキュリティ責任者及び教育情報セキュリティ管理者は、教育情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかに教育委員会CISO及び統括教育情報セキュリティ責任者に報告しなければならない。

② 教育委員会CISOは、発生した問題について、適切かつ速やかに対処しなければならない。

③ 統括教育情報セキュリティ責任者及び教育情報システム管理者は、ネットワーク、サーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。

(2) パソコン、モバイル端末、電磁的記録媒体等の利用状況調査

教育委員会CISO及び教育委員会CISOが指名した者は、不正アクセス、不正プログラム等の調査のために、教職員等が使用しているパソコン、モバイル端末、電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

(3) 教職員等の報告義務

① 教職員等は、教育情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括教育情報セキュリティ責任者及び教育情報セキュリティ管理者に報告を行わなければならない。

② 違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括教育情報セキュリティ責任者が判断した場合は、緊急時対応計画に従って適切に対処しなければならない。

7.3.侵害時の対応等

(1) 緊急時対応計画の策定

教育委員会CISO又は情報セキュリティ委員会は、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、あらかじめ緊急時対応計画を定め、セキュリティ侵害時には当該計画に従って適切に対処しなければならない。

(2) 緊急時対応計画に盛り込むべき内容

緊急時対応計画には、以下の内容を定めなければならない。

① 関係者の連絡先

② 発生した事案に係る報告すべき事項

③ 発生した事案への対応措置

④ 再発防止措置の策定

(3) 業務継続計画との整合性確保

情報セキュリティ委員会は、自然災害、大規模又は広範囲に及ぶ疾病等に備えて策定された業務継続計画と情報セキュリティポリシーの整合性を確保しなければならない。

(4) 緊急時対応計画の見直し

教育委員会CISO又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。

7.4.例外措置

(1) 例外措置の許可

教育情報セキュリティ管理者及び教育情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、学校事務及び教育活動の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、教育委員会CISOの許可を得て、例外措置を取ることができる。

(2) 緊急時の例外措置

教育情報セキュリティ管理者及び教育情報システム管理者は、学校事務及び教育活動の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかに教育委員会CISOに報告しなければならない。

(3) 例外措置の申請書の管理

教育委員会CISOは、例外措置の申請書及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

7.5.法令等遵守

教職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令等を遵守し、これに従わなければならない。

① 地方公務員法(昭和25年法律第261号)

② 教育公務員特例法(昭和24年法律第1号)

③ 著作権法(昭和45年法律第48号)

④ 不正アクセス行為の禁止等に関する法律

⑤ 個人情報の保護に関する法律(平成15年法律第57号)

⑥ 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)

⑦ サイバーセキュリティ基本法(平成26年法律第104号)

7.6.懲戒処分等

(1) 懲戒処分

教育情報セキュリティポリシーに違反した教職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。

(2) 違反時の対応

教職員等の教育情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次の措置を講じなければならない。

① 統括教育情報セキュリティ責任者が違反を確認した場合は、統括教育情報セキュリティ責任者は当該教職員等が所属する学校の教育情報セキュリティ管理者に通知し、適切な措置を求めなければならない。

② 教育情報システム管理者等が違反を確認した場合は、違反を確認した者は速やかに統括教育情報セキュリティ責任者及び当該教職員等が所属する学校の教育情報セキュリティ管理者に通知し、適切な措置を求めなければならない。

③ 教育情報セキュリティ管理者の指導によっても改善されない場合、統括教育情報セキュリティ責任者は、当該教職員等の教育ネットワーク又は教育情報システムを使用する権利を停止又は剥奪することができる。その後速やかに、統括教育情報セキュリティ責任者は、教職員等の権利を停止又は剥奪した旨を教育委員会CISO及び当該教職員等が所属する学校の教育情報セキュリティ管理者に通知しなければならない。

8.外部サービスの利用

8.1.外部委託

(1) 外部委託事業者の選定基準

① 教育情報システム管理者は、外部委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

② 教育情報システム管理者は、情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして、事業者を選定しなければならない。

③ 教育情報システム管理者は、クラウドサービスを利用する場合は、情報の機密性に応じたセキュリティレベルが確保されているサービスを利用しなければならない。

(2) 契約項目

情報システムの運用、保守等を外部委託する場合には、外部委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。

① 教育情報セキュリティポリシー及び教育情報セキュリティ実施手順の遵守

② 外部委託事業者の責任者、委託内容、作業者及び作業場所の特定

③ 提供されるサービスレベルの保証

④ 外部委託事業者にアクセスを許可する情報の種類、範囲及びアクセス方法

⑤ 外部委託事業者の従業員に対する教育の実施

⑥ 提供された情報の目的外利用及び受託者以外の者への提供の禁止

⑦ 業務上知り得た情報の守秘義務

⑧ 再委託に関する制限事項の遵守

⑨ 委託業務終了時の情報資産の返還、廃棄等

⑩ 委託業務の定期報告及び緊急時報告義務

⑪ 市による監査及び検査

⑫ 市による情報セキュリティインシデント発生時の公表

⑬ 教育情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)

(3) 確認・措置等

教育情報システム管理者は、外部委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じて、(2)の契約に基づき措置しなければならない。また、その内容を統括教育情報セキュリティ責任者に報告するとともに、その重要度に応じて教育委員会CISOに報告しなければならない。

8.2.約款による外部サービスの利用

(1) 約款による外部サービスの利用に係る規定の整備

教育情報システム管理者は、以下を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、機密性2B以上の情報が取り扱われないように規定しなければならない。

(ア) 約款によるサービスを利用してよい範囲

(イ) 業務により利用する約款による外部サービス

(ウ) 利用手続及び運用手順

(2) 約款による外部サービスの利用における対策の実施

教職員等は、利用するサービスの約款、その他提供条件から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適切な措置を講じた上で利用しなければならない。

8.3.ソーシャルメディアサービスの利用

① 教育情報システム管理者は、教育委員会又は学校が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(ア) 本市のアカウントによる情報発信が、実際の本市のものであることを明らかにするために、本市の自己管理ウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を行うこと。

(イ) パスワード、認証のためのコード等の認証情報及びこれを記録した媒体(IC カード等)等を適切に管理する等の方法で、不正アクセス対策を行うこと。

② 機密性2A以上の情報はソーシャルメディアサービスで発信してはならない。

③ 利用するソーシャルメディアサービスごとの責任者を定めなければならない。

9.1人1台端末におけるセキュリティ

9.1.学習者用端末のセキュリティ対策

(1) 授業に支障のないネットワーク構成の選択(帯域、同時接続数等)

クラウドサービス提供事業者側のサービス要件基準を満たしたネットワーク構成を設計すること。また、運用開始前には十分検証し、利用状況に応じて定期的に改修計画を行うこと。

(2) 不適切なウェブページの閲覧防止

児童生徒が端末を利用する際に不適切なウェブページの閲覧を防止する対策を講じなければならない。

(3) マルウェア感染対策

学校内外での端末の利用におけるマルウェア感染対策を講じなければならない。

(4) 端末を不正利用させないための防止策

端末のセキュリティ状態の監視に加えて、不適切なアプリケーションやコンテンツの利用を制限し、常に安全で児童生徒が安心して利用できる状態を維持しなければならない。

(5) セキュリティ設定の一元管理

児童生徒への端末配布後においても、端末のセキュリティ設定、OSアップデート、ウェブブラウザのアップデート、学習用ツールのインストール、端末の利用履歴も含めた状態確認等の作業を、離れた場所からでも一元管理できること。

(6) 端末の盗難・紛失時の情報漏洩対策

児童生徒が端末を紛失しても、遠隔操作でロックをかける、又はワイプ(データ消去)することで第三者による不正操作、情報漏洩を防ぐ等の安全管理措置を講じなければならない。

(7) 運用・連絡体制の整備

学校内外での端末の運用ルールを制定し、インシデント時の連絡先対応方法を各学校にて整理しなければならない。

9.2.児童生徒におけるID、パスワード等の管理

(1) ID登録・変更・削除

① 入学/転入時のID登録処理

IDについてはシンプル・ユニーク(唯一無二)・パーマネント/パーシスタント(永続的な識別)な構成要素になっていることや、児童生徒の発達段階に応じた複雑性を上げたパスワードポリシーによりセキュリティ強度を上げていく等の適切な措置を講じなければならない。

ID登録やパスワードポリシーにおいては情報セキュリティ対策として重要な要素であるため学校毎に管理するのではなく、同一の教育委員会等の組織にて一元管理すること。

② 進級時のID関連情報の更新

IDについては原則として進級にも変更不要とすること。IDを変えることなくIDの属性情報(進級時の組、出席番号等)の更新を行わなければならない。

③ 転出/卒業/退学時のID削除処理

ユニークなIDは個人を識別できる可能性があるため、個人情報保護の観点から、サービス提供期間を超えて個人を特定する情報を保持しないようにする必要がある。

転出や卒業/退学時に学習用ツールのサービス利用期間が終了する場合は、あらかじめ児童生徒本人によるデータ移行をサービス利用期間内に実施し、IDの利用停止後、最終的にはID及び関連するデータの完全削除を行うこと。ただし、本人同意や個人情報の保護に関する法律及び下野市個人情報の保護に関する法律施行条例に従った適切な管理の下、一部のデータを活用することができる。

(2) 学習用ツールへのシングルサインオン

学習履歴を活用したり、個人の成果物を保存するアプリケーションが増えてくると、サービス利用時に都度ID/パスワード等の認証情報を入力したり、サービス毎のアカウント情報管理が非常に煩雑になるため、一度の認証により一定時間は各種サービスにアクセスが行えるシングルサインオンの導入を行うこと。

10.評価・見直し

10.1.監査

(1) 実施方法

教育委員会CISOは、情報セキュリティ監査統括責任者を指名し、教育ネットワーク及び教育情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。

(2) 監査を行う者の要件

① 情報セキュリティ監査統括責任者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。

② 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

(3) 監査実施計画の立案及び実施への協力

① 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

② 被監査部門は、監査の実施に協力しなければならない。

(4) 外部委託事業者に対する監査

外部委託事業者に委託している場合、情報セキュリティ監査統括責任者は外部委託事業者から下請けとして受託している事業者も含めて、教育情報セキュリティポリシーの遵守について監査を定期的に又は必要に応じて行わなければならない。

(5) 報告

情報セキュリティ監査統括責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告する。

(6) 保管

情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。

(7) 監査結果への対応

教育委員会CISOは、監査結果を踏まえ、指摘事項を所管する教育情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない教育情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。

(8) 情報セキュリティポリシー、関係規程等の見直し等への活用

情報セキュリティ委員会は、監査結果を情報セキュリティポリシー、関係規定等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

10.2.自己点検

(1) 実施方法

① 統括教育情報セキュリティ責任者及び教育情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。

② 教育情報セキュリティ責任者は、教育情報セキュリティ管理者と連携して、所管する部局における教育情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じて自己点検を行わなければならない。

(2) 報告

統括教育情報セキュリティ責任者、教育情報システム管理者及び教育情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。

(3) 自己点検結果の活用

① 教職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

② 情報セキュリティ委員会は、この点検結果を情報セキュリティポリシー、関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

10.3.教育情報セキュリティポリシー、関係規程等の見直し

情報セキュリティ委員会は、情報セキュリティ監査、自己点検の結果、情報セキュリティに関する状況の変化等を踏まえ、情報セキュリティポリシー、関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合、改善を行うものとする。

この訓令は、公布の日から施行する。

(令和5年3月20日教委訓令第2号)

この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日(令和5年4月1日)から施行する。

(令和5年11月17日教委訓令第7号)

この訓令は、公布の日から施行する。

下野市学校情報セキュリティ対策基準

令和3年7月19日 教育委員会訓令第6号

(令和5年11月17日施行)

体系情報
下野市例規集/第7編 育/第2章 学校教育
沿革情報
令和3年7月19日 教育委員会訓令第6号
令和5年3月20日 教育委員会訓令第2号
令和5年11月17日 教育委員会訓令第7号