「高等教育機関の情報セキュリティ対策のためのサンプル規程集」(案)に関する意見・要望の募集の結果について
国立情報学研究所 国立大学法人等における情報セキュリティポリシー策定作業部会
電子情報通信学会 ネットワーク運用ガイドライン検討WG
平成19年1月16日付けで実施しました,「高等教育機関の情報セキュリティ対策のためのサンプル規程集」(案)に関する意見・要望の募集の結果について,お知らせします。
1.意見公募手続きの概要
(1)意見募集期間:平成19年1月16日〜平成19年1月22日
(2)告知方法:国立情報学研究所ホームページ,電子情報通信学会ホームページ
(3)意見提出方法:電子メール
2.提出意見総数
4件
3.提出意見の概要
番号 |
意見・要望提出者 |
意見・要望等の概要 |
扱い |
|||
1 |
国立大学教員 |
○大学と研究者の関係は、雇用者と被雇用者との関係というより、組合と構成員の関係に近い。本サンプル規定集において、雇用者・被雇用者関係にもとづいており、現実の大学の活動を鑑みた場合、円滑に実施運用できると考えることは非常に困難である。 以上のことから、情報システムの規定を、学術活動と大学の経営活動の2つに分離し、それぞれについて整備する方が合理的であり、実効的であると考える。 |
学術・教育活動と規律ある利用を調和させる方策について検討すべきであるが,本サンプル規程集において,国立大学法人A大学では、大学と研究者の関係が雇用契約に基づいていることから、サンプル規程集もそうなっているので,原案のままとした。 |
|||
2 |
国立大学職員 |
規定名称 |
現状 |
修正案 |
修正理由 |
|
定義の記載箇所 |
各所地に記載 |
一カ所に集約表記 |
余りにも定義が多すぎる。各手順を通した共通定義としてまとめて表示した資料が必要ではなかろうか? |
規程として,必要な箇所で定義しているものであり,原文のままとした。 用語一覧について,今後検討する。
|
||
情報システム運用基準 |
四 事務局情報システム ・・・・・・・ |
削除 |
事務局システム以外の情報システムの定義がなくアンバランスである。 |
意見の通り削除により修正した。 |
||
情報システム運用基準 |
五 ポリシー |
五 ポリシー |
他の手順の表現との整合性を執りました。 |
意見の通り修正した。 |
||
情報システム運用基準 |
世話部局 |
管理運営部局 |
”世話”という表現では責任の所在が不明瞭な感じを受ける。 |
意見の通り修正した。(同様1箇所) |
||
情報システム運用基準 |
第二十二条 |
|
次の23条との条文表現の整合性を執りました。 |
意見の通り修正した。 |
||
情報システム運用基準 |
第二十三条 |
|
前条との条文表現の整合性を執り ました。 |
意見の通り修正した。 |
||
情報システム運用・管理規定 |
第七条 解説 |
|
送信者名が詐称されている場合があるので、添付ファイルが不審と感じた場合には差出人が誰であろうと実行しないのが慎重な対応と思われる。 |
意見の通り修正した。 |
||
情報システム運用・管理規定 |
第十四条 6 |
|
前項において要機密情報に特化して記述しています。 |
政府機関統一基準の表記に準拠して必要なので、原文のままとした。 |
||
情報システム管理運用規定 |
第二十一条解説末尾 |
|
本規定五条にある管理者権限の乱用に配慮することを明示しておくほうが好ましいと考えました。 |
意見の通り修正した。 |
||
情報システム運用・管理規定 |
第三十九条 第四十条1項・2項 |
|
修正漏れでは? |
本サンプル規定集において、他規程への影響を考慮し、教職員以外を除外する必要があるところなので、原文のままとした。(同様2箇所) |
||
情報システム運用・管理規定 |
第四十六条2項 |
|
定める対象者を限定かつ明示しては如何でしょうか? |
意見を踏まえ、解説を修正した。 |
||
情報システム運用管理規定 |
第七十条 |
質問 |
要保護情報は、 |
政府機関統一基準の表記に準拠して、原文のままとした。 |
||
利用規程 |
第七条 |
|
修正漏れでは? |
本サンプル規定集において、他規程への影響を考慮し、教職員以外を除外する必要があるところなので、原文のままとした。 |
||
利用規程 |
第十二条 |
|
誤字 |
意見の通り修正した。 |
||
インシデント対応手順 |
複数箇所 |
|
表記統一 |
意見の通り修正した。 |
||
インシデント対応手順 |
(5)(オ) 末尾 |
|
表記統一 |
意見の通り修正した。 |
||
インシデント対応手順 |
6 コンテンツに関する緊急対応 |
6 コンテンツインシデントに対する緊急対応 |
表記統一 |
意見の通り修正した。 |
||
情報取扱い手順 |
4.2 (1) |
|
要保護情報に該当するデータのみ取扱制限の指定をすれば良いと理解しています。 |
政府機関統一基準の考え方に準拠するものとし,原文のままとした。なお情報格付け手順について今後検討する。 |
||
情報取扱い手順 |
5.2 (3) |
|
ソフトウエアを利用して電磁的記録を参照するとしているが、ここでいうソフトウエアが特別なツールを想定しているようにも解せてしまうため。 |
意見の通り修正した。 |
||
情報取扱い手順 |
5.2 (4) |
|
情報システム運用委員会が定めた明記不要情報と、「付録B」が同一のものではなく、それぞれ別個のものであるとの誤解を招く恐れがある。 |
政府機関統一基準の表記に準拠して、原文のままとした。 |
||
情報取扱い手順 |
5.3.2 (2) |
5.3.2 (3) |
内容が実行段階であることから後項番が望ましい。 |
政府機関統一基準の表記に準拠して、原文のままとした。 |
||
情報取扱い手順 |
5.3.2 (4) |
|
【見直した場合の指定者を元の格付けを行った利用者とする場合】の表題の内容に準拠させる。 |
政府機関統一基準の表記に準拠して、原文のままとした。 |
||
PC取扱い手順 |
1−2−b |
削除 |
一般常識のことであり、あえて情報システムセキュリティの観点で記述するのではないと思われる。 |
意見を踏まえ、解説を修正した。 |
||
3 |
国立大学教員 |
○A2201−14 第14条 「部局情報ネットワーク運営委員会」とあるが、「部局情報システム運用委員会」の修正漏れと思われる。 |
意見の通り修正した。 |
|||
○A2101−36 の第36条の「研究教育事務以外の情報」について解説を付け加えていただきたい。 |
意見を踏まえ、解説を修正した。 |
|||||
4 |
国立大学教員 |
○「本学情報システム」(A大学情報システム)の範囲がよく分からない。対象となる「情報」の範囲について、規程により文言が異なり、範囲が不明確である。規律をする情報資産の対象範囲について、明確にしていただきたい。 |
今後検討する。 |