「高等教育機関の情報セキュリティ対策のためのサンプル規程集」に関するFAQ(よくある質問・要望)への回答

高等教育機関における情報セキュリティポリシー推進部会

「高等教育機関の情報セキュリティ対策のためのサンプル規程集」(2007年度版)とそれを用いた大学での情報セキュリティポリシーの策定ならびに運用に関して,利用者の皆様から寄せられた質問・要望について,以下にその回答を示します。利用の際のご参考としていただけると幸いです。

  1. サンプル規程集に関するもの
    0001:サンプル規程集の公開形式について
    Q: サンプル規程集はPDF形式なので自大学向けに編集するのが困難です。MS-Word形式等で提供していただくことはできませんか?
    A: サンプル規程集の原稿はMS-Word以外の文書ファイルからも構成されており、複雑な構造のため、外部への提供の予定はありません。なお決定事項ではございませんが、PDF形式、テキストファイル形式とは別に、文書単位でxmlまたはhtml形式で公開する取り組みが計画されております。
    0002:他の制度や規格との関係について
    Q: サンプル規程集は、ISOやプライバシーマーク制度などの情報セキュリティの基準とどのような関係になっていますか?
    A: サンプル規程集の策定にあたっては、プライバシーマーク制度やISO規格を含め、大学において情報セキュリティ対策のあり方をどのように考えるべきかについて検討を続けてきました。直接対応できる形にはなっていませんが、考慮の中に入っているとお考えください。
    0003:サンプル規程集に関する今後の取組みについて
    Q: サンプル規程集の今後の改訂予定はどうなっていますか?たとえば政府機関統一基準の第2版への対応はいつごろ行う予定ですか?
    A: 情報セキュリティポリシーは、作ったままで放置するのではなく、いわゆるPDCAサイクルのもとで定期的に見直しをしていくことが重要です。したがって将来的にサンプル規程集も見直しを行う予定ですが、現時点では具体的な予定はありません。なお次回の見直しの際には、その時点で最新の政府機関統一基準に準じたものとすることを考えています。
  2. 大学での情報セキュリティポリシーの策定・運用に関するもの
    1001:大学における政府機関統一基準への準拠の必要性について
    Q: 大学でポリシーを作る場合に、「政府機関の情報セキュリティ対策のための統一基準」(以下、統一基準と表記)にどのくらい準拠しなければならないのでしょうか?
    A: 大学は、統一基準を参考に情報セキュリティ水準の向上を促進することとされています。本サンプル規程集でも、事務関係については完全準拠、それ以外のところについても統一基準の考え方を基本とし、大学の特殊事情を考慮した修正・拡張を行っています。