２　校務情報の分類と管理 　
（１）校務情報の分類 　　　　　　
校務情報は、次の重要性分類に従って分類する。

＜重要性分類Ⅰ＞
・印西市個人情報保護条例（平成１２年印西市条例第２５号)第２条に規定する個人情報。
・法令又は条例（以下「法令等」という。）の定めにより守秘義務を課されている行政情報 (上記個人情報を除く)。
・法人その他の団体に関する行政情報で漏洩することにより当該団体の利益を害する恐れのあるもの。
・漏洩した場合、学校運営に対する信頼を著しく害するおそれのある情報。
・滅失し、又はき損した場合、その復元が著しく困難となり、教育活動等の円滑な推進を妨げる恐れのある校務情報。
・情報システムに係るパスワード及びシステム設定情報。

＜重要性分類Ⅱ＞
脅威にさらされた場合に実害を受ける危険性は低いが、教育活動等の円滑な推進において重要性は高いと評価される校務情報

＜重要性分類Ⅲ＞
上記以外の校務情報


（２）校務情報の管理方法 　
＜情報の管理及び取扱い＞
・校務情報は、パスワード等によるアクセス制限を行わなければならない。
・重要性分類Ⅰ・Ⅱの校務情報の取り扱いについて、情報管理者は、不用意な複製や送付・送信を行わないよう管理しなければならない。 　　　　　　
＜記録媒体の管理＞
・重要性分類Ⅰ・Ⅱの校務情報を記録した取り外し可能な記録媒体は、外部からの脅威にさらされないよう施錠ができるなど安全な場所に保管し、適切に管理しなければならない。
・重要性分類Ⅰ・Ⅱの校務情報を記録した記録媒体を保管場所以外に持ち出す場合は、職員は記録媒体の物理的な保護措置を講じなければならない。

＜記録媒体の処分＞
・記録媒体が磨耗等により不要となった場合は、当該媒体に記録されている重要性分類Ⅰ・Ⅱの行政情報をいかなる方法によっても復元できないように消去等を行った上で廃棄しなければならない。
・重要性分類Ⅰ・Ⅱの校務情報を記録した記録媒体の廃棄は、廃棄を行った日時、担当者及び処理内容を記録する等、適切に処分しなければならない。


３　物理的セキュリティ 　　
（１）設置及び保管場所の管理 　　　　　　　
情報管理者は、重要性分類Ⅰ・Ⅱの校務情報の記録されている媒体及びそれを取り扱う情報システムについて盗難防止のための物理的措置を講じなければならない。

（２）情報システムの搬入・搬出
・機器等を搬入・搬出する場合は、あらかじめ既存情報システム等に対する安全性について、職員による確認を行わなければならない。
・機器等の搬入・搬出には、職員が立ち会う等の必要な措置を講じなければならない。 　　

（３）電源
停電及び電圧異常等によりデータ等が破壊され、業務処理に支障を来たす恐れのある情報システムの機器の電源は、当該機器を適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。　　

（４）配線 　　　　　　　
・配線は、傍受又は損傷等を受けることがないよう可能な限り必要な措置を講じなければならない。　　　　　　　
・無線LANの導入に当たっては、暗号化する等、十分な漏洩防止策を講じなければならない。 　　

（５）情報システムの設置等 　　　　　　　
・情報システムは、本校最高情報統括責任者が、機器の動作に影響を及ぼさない場所を考慮し、設置しなければならない。　　　　　　　
・情報システムの機器については、盗難防止のための物理的措置を講じなければならない。　　　　　　　



４　人的セキュリティ 　　
（１）職員 　　　　　　　
・職員は、業務目的以外での情報システムの使用を行ってはならない。 　　　　　　　
・職員は、情報セキュリティ実施手順に定めている事項を遵守しなければならない。 　　　　　　　
・職員は、情報管理者の許可を得ずに、記録媒体等を職員室以外に持ち出してはならない。 　　　　　　　
・職員は、情報システム管理者の許可を得ずに、情報システムの機器を職員室以外に持ち出してはならない。　　　　　　　
・職員は、異動等により業務を離れる場合には、知り得た情報を他に漏らしてはならない。 　　

（２）教育・訓練 　　　　　　　
・最高情報統括責任者は、職員に対し情報セキュリティポリシーについて啓発に努めるとともに、職員を対象とした情報セキュリティポリシーに関する研修の場を設けなければならない。 　　　　　　　
・情報管理者は、情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を積まなければならない。　　　　　　　
・情報システムを所管する情報管理者は、情報システムの運用に支障を来さない範囲において、緊急時対応を想定した訓練等を職員に行わせなければならない。　　　　　　　
・職員は、情報セキュリティポリシー及び情報セキュリティ実施手順を理解し、情報セキュリティ上の問題が生じないようにしなければならない。　　

（３）外部委託に関する管理 　　　　　　　
・情報システムの追加・変更・保守等を外部事業者に委託する場合は、情報セキュリティポリシーのうち外部委託事業者が守るべき内容の遵守及びその守秘義務を明記した契約を締結し、その遵守を管理しなければならない。

（４）パスワード等の管理 　　　　　　　
・職員は、自己の保有するパスワードについて、不用意にもらしたりメモを作ったりしないようにするなど、パスワードの秘密保持に努めなければならない。　　　　　　　


５　技術的セキュリティ 　　
（１）情報システムの管理 　　　　　　　
＜情報システム管理記録の作成と管理 ＞　　　　　　　　
・情報管理者は、担当する情報システムにおいて行ったシステムの変更作業を記録し、適切に管理しなければならない。　　　　　　　
＜情報システム仕様書等の管理＞ 　　　　　　　　
・情報管理者は、担当する情報システムの仕様書等を最新の状態にしなければならない。また、システムの仕様変更等の処理を行った場合は、その記録を作成しなければならない。　　　　　　　　
・情報管理者は、情報システムの仕様書を業務上必要とする者のみが閲覧できる場所に保管しなければならない。　　　　　　　

＜侵害記録の作成＞ 　　　　　　　
・情報管理者は、担当する情報システムに侵害が発生した場合は、その記録を作成し、一定の期間保存しなければならない。

＜バックアップの取得＞ 　　　　　　　　
・情報管理者は、重要性分類Ⅰ・Ⅱの校務情報については、取り外し可能な記録媒体へバックアップを取り、施錠等のできる安全な場所へ保管しなければならない。　　　　　　　

＜ソフトウェアの導入に関する注意＞ 　　　　　　　　
・職員は、新たにソフトウェアを導入する場合は、最高情報統括責任者の許可を得なければならない。　　　　　　　　
・職員は、正規のライセンスのないソフトウェアを導入してはならない。 　　　　　　　　
・職員は、業務上不必要なソフトウェア及び出所不明なソフトウェア等を導入してはならない。　　　　　　　

＜メールの送受信等＞ 　　　　　　　　
・職員は、業務上不必要なメールの送信をしてはならない。 　　　　　　　　
・職員は、不審なメールを受信した場合は、直ちに消去しなければならない。　　　　　　　　
・職員は、重要性分類Ⅰ・Ⅱの校務情報に該当する添付ファイルのあるメールを送信する必要がある場合には、事前に最高情報統括責任者の承認を受けなければならない。 　　　　　　　

＜暗号化＞ 　　　　　　　　
・暗号化については、情報管理者が定める方法を用いなければならない。 　　　　　　　　
・暗号のための鍵は、重要性分類Ⅰの校務情報として厳重に管理しなければならない。 　　　　　　

＜職員以外の者が利用できる情報システム＞ 　　　　　　　　
・情報管理者は、職員以外の者が利用できる情報システムについては、情報セキュリティ対策について特に強固な対策を取らなければならない。　　　　　　　

＜情報システムの入出力データ＞ 　　　　　　　　
・情報管理者は、情報システムに入力されるデータの適切なチェック等を行い、それが正確であることを確実にするための対策を施さなければならない。
・情報管理者は、情報システムから出力されるデータの処理が正しく行われていることを確認しなければならない。 　　


（２）情報システムアクセス制御 　　　　
＜利用者登録 ＞　　　　　　　　
・情報管理者は、情報システムの利用者の登録、変更、抹消等については、情報システム毎に定められた方法に従って行わなければならない。　　　　　　　　
・情報管理者は、業務上不必要な情報システムにアクセスできないよう、ID、パスワードによる利用者の制限等、必要な措置を講じなければならない。　　　　

＜本校以外のネットワークとの接続＞ 　　　　　　　　
・本校以外のネットワークとの接続に際しては、ネットワーク構成、機器構成及び情報セキュリティレベル等を詳細に検討し、本校の情報資産に影響が生じないことを確認したうえで、情報管理者の許可に基づき接続しなければならない。　　　　　　　　
・情報管理者は、本校以外のネットワークとの接続を行うことでネットワークの安全性が脅かされることの無いようにセキュリティ対策に努めなければならない。　　　　　　　　
・情報管理者は、接続した本校以外のネットワークの情報セキュリティに問題が認められた場合には、速やかに当該ネットワークを物理的に遮断しなければならない。　　　　　　　　
・情報管理者は、本校のネットワークの情報セキュリティに問題が認められた場合には、速やかに当該ネットワークを、本校以外のネットワークから遮断しなければならない。 　　

（３）情報システムの追加・変更・保守 　　　　　　
＜情報システムの追加・変更＞ 　　　　　　　　
・情報管理者は、情報システムのソフトウェアを追加・変更する場合は、情報セキュリティ上問題にならないかどうか、情報システム管理者に確認しなければならない。　　　　　　　　
・情報管理者は、情報システムのソフトウェアを追加・変更する場合は、ソフトウェアの仕様書等を整備しなければならない。　　　　　　　　
・情報管理者は、ソフトウェアを追加・変更する場合は、既に稼動している情報システムに接続する前に十分な試験を行わなければならない。 　　　　　　

＜情報システムの変更管理＞ 　　　　　　　　
・情報管理者は、情報システムを追加、変更した場合は、その際の設定・構成等の履歴を記録・保存し、必要な場合には復旧できるようにしなければならない。 　　　　　　

＜情報システムの保守及び更新＞ 　　　　　　　　
・情報管理者は、情報システムに情報セキュリティに関する不具合が生じた場合は、速やかに対応を行わなければならない。　　　　　　

・情報管理者は、情報システムのソフトウェアの更新については、計画的に実施しなければならない。　　　　　　

＜機器の修理及び廃棄＞ 　　　　　　　　
・情報システムの機器を、外部事業者に修理させる場合又は貸借期限終了等により廃棄する場合は、可能な範囲でバックアップを取り、記録媒体内の全ての校務情報を消去しなければならない。なお、外部事業者に修理させる際、校務情報を消去することが難しい場合は、修理を委託する事業者と守秘義務を明記した契約を締結しなければならない。　　　　　　

＜機器構成の変更＞ 　　　　　　　
・職員は、情報システムの機器について改造又は機器の増設・交換を行ってはならない。　　　　　　　　
・職員は、情報システムの機器の増設・交換を行う必要がある場合には、情報管理者の許可を得なければならない。　　　　　　　　
・職員は、モデム等の機器を増設して、他のネットワークへ接続を行う場合及び他のネットワークからアクセスを可能とする仕組みを構築する場合には、印西市教育委員会を通し、市情報システム管理者及び情報管理者の許可を得なければならない。


（４）コンピュータウイルス対策 　　　　　　　
＜情報管理者は、次に掲げる事項を実施しなければならない。＞ 　　　　　　　　　
・ウイルスに関する情報の収集に努め、その情報を職員に伝え、注意を喚起しなければならない。 　　　　　　　　　
・職員に提供するウイルスチェック用のパターンファイルは、常に最新のものに更新しなければならない。　　　　　　　

＜情報管理者は、次に掲げる事項を実施しなければならない。＞ 　　　　　　　　　
・所掌する情報システムにウイルス対策ソフトを導入しなければならない。 　　　　　　　　　
・所掌する情報システムにおいて、ウイルスチェック用のパターンファイルが最新であるかどうか常に確認しなければならない。　　　　　　　
・所掌する情報システムにおいて、コンピュータウイルスが発見されたときは、速やかに情報システム管理者に報告しなければならない。　　　　　　　
＜職員は、次に掲げる事項を遵守しなければならない。＞　　　　　　　　　
・ウイルスに感染した疑いがある場合には、ネットワークの接続を外し、感染の拡大を防がなければならない。また、速やかに情報管理者に報告しなければならない。 　　　　　　　　　
・情報管理者が提供するコンピュータウイルス情報を常に確認しなければならない。 　　

（５）不正アクセス対策 　　　　　　　　　
・情報システム管理者は、情報システムのセキュリティに関する情報を常に収集し、メーカー等から修正プログラムの提供があった時は、速やかに対応しなければならない。　　　　　　　　　
・情報管理者は、情報システムに不正アクセスの疑いがある場合には、最高情報統括責任者に報告し、適切な措置を講じなければならない。 　　　　　　　　　
・職員からの不正アクセスがあった場合は、最高情報統括責任者並びに情報管理者に通知し、必要な措置を講じなければならない。



６　運用面におけるセキュリティ 　　
（１）情報システムの監視 　　　　　　　
情報管理者は、情報システムの運用にあたっては、常に情報システムを監視するとともに情報セキュリティに対して注意を払わなければならない。 　　

（２）情報セキュリティポリシーの遵守状況の確認 　　　　　　　
最高情報統括管理者及び情報管理者は、情報セキュリティポリシーの遵守状況について、また運用上支障が生じていないかについて確認を行わなければならない。　

（３）セキュリティ侵害時の対応 　　　　　　　
情報システムにおいて、セキュリティ上の重大な事故が発生し、情報資産が侵害されたときは、被害の拡大防止、迅速な復旧、証拠保全及び再発防止を図るため、緊急時対応計画を定めることとし、次に掲げる対策を実施しなければならない。なお、緊急時対応計画は、それぞれの情報システムの実施手順において、定めるものとする。　　　　　　
＜連絡及び報告＞ 　　　　　　　
・事故を発見した者は、実施手順に定める連絡系統に基づき、直ちに連絡しなければならない。　　　　　　　
・事故を発見した者は、その内容、考えうる原因並びに被害の内容及び範囲等について速やかに情報管理者に報告しなければならない。　　　　　
＜調査＞ 　　　　　　
情報システム管理者及び情報管理者は、侵害が発生した場合、速やかに、最高情報統括責任者及び情報統括管理者に報告するとともに、次の項目について調査をしなければならない。 ただし、軽微なものについては報告を要しないものとする。 　　　　　　　
・侵害の内容 　　　　　　　　
・侵害が発生した原因 　　　　　　　　
・確認した被害、影響範囲 　　　　　　　　
・調査した内容は速やかに報告しなければならない。 　　　　　

＜侵害への対応＞ 　　　　　　　　
情報管理者は、情報セキュリティに対する侵害に対処するため、あらかじめ定めた緊急時対応計画に沿って、必要な措置を講じなければならない。 　　　　　　

＜再発防止の措置＞ 　　　　　　　　
・情報管理者は、必要な再発防止の措置を講じるとともに、その結果を最高情報統括責任者に報告しなければならない。


７　法令等遵守　　　
職員は、使用する情報資産について、次の法令等を遵守しなければならない。また、マナーと倫　理をもって情報システムを利用しなければならない。 　　
（１）不正アクセス行為の禁止等に関する法律（平成１１年法律第１２８号） 　　
（２）著作権法（昭和４５年法律第４８号） 　
（３）行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律（昭和６３年法律　第９５号）　　
（４）本市個人情報保護条例（平成１２年印西市条例第２５号）


８　評価・見直し等 　
（１）情報管理者は、当該部署の情報セキュリティが確保されていることを確認するため、自主点検を行い、必要に応じ改善措置を講じなければならない。　
（２）最高情報統括責任者は、評価及び見直しが必要となる事象が発生した場合には、「印西市立小倉台小学校情報部」に諮り必要な見直しを行い、適切な情報セキュリティポリシーの維持及び運用に努めなければならない。