「高等教育機関の情報セキュリティ対策のためのサンプル規程集」(2007年度版)に関する意見・要望の募集の結果について
国立情報学研究所 国立大学法人等における情報セキュリティポリシー策定作業部会
電子情報通信学会 ネットワーク運用ガイドライン検討WG
平成19年8月17日付けで実施しました,「高等教育機関の情報セキュリティ対策のためのサンプル規程集」(案)に関する意見・要望の募集の結果について,お知らせします。
番号 | 意見・要望提出者 | 意見・要望等の概要 | 扱い |
---|---|---|---|
1. | 国立大学教員 | ○ 「高等教育機関の情報セキュリティ対策のためのサンプル規程集」を参考に、本学のセキュリティポリシを検討しているが、このサンプル規程集の p.243 に別紙1として挙げられている「電子メールサービス提供ソフトウェアのセキュリティ維持に関する規程」の雛形が見あたらない。 | 内閣官房情報セキュリティセンター提供の雛形のうち、本文書のみ未対応であったため、別紙1として追記した。 |
2. | 民間企業職員 | ○ 「A1001 情報システム運用基本規程」第19条の「情報の格付け」において、「書面については機密性の観点から当該情報の格付け及び取扱制の指定並びに明示等の規程を整備すること。」とある。これは、「政府機関の情報セキュリティ対策のための統一基準」に準じた記載と思われるが、書面についても下記の例のように「完全性」や「可用性」の観点での情報の格付け考慮が必要ではないか。 (例)完全性の観点:試験答案の内容や採点結果が改竄されたりすることが無い様に「完全性」を確保することは大変重要。また、データ化されているものでも書面化した後に完全性が損なわれてしまうと問題となるもの(学生証、成績証明書、領収書等)も多数存在 (例)可用性の観点:講義等で使用する各種の教材書面や試験問題等は、その可用性が損なわれると即、講義や試験の実施に影響 |
意見を踏まえ、解説に追記した。 |
3. | 国立大学職員 | 1) 「A1001 情報システム運用基本規程」第3条解説の2行目の誤記。 現行 四項の事務局情報システム 修正 四項の事務情報システム |
意見の通り修正した。 |
2) 「A3303 教育テキスト作成ガイドライン(CIO/役職者向け)」1.1の5行目の誤記。 現行 (基本方針,運用基準) 修正 (基本方針,運用基本規程) |
意見の通り修正した。 | ||
3) 「A3502 責任者等の役割から見た遵守事項」2.4.1(1)(a)の実施者欄の誤記。 現行 情報セキュリティ関係規定を整備した者 修正 情報セキュリティ関係規程を整備した者 |
意見の通り修正した。 | ||
4) 「A2201 情報システム利用規程」冒頭解説の第3段落5行目に「学籍によって懲戒の内容に差異が生じないようにするため、」とあるが、学籍とは「学生としての身分を有するという意味」であるので、「学生・職員の所属によって懲戒の内容に差異が生じないようにするため、」の方が意味がわかると考える。 | 意見を踏まえ、「所属によって懲戒の内容に差異が生じないようにするため、」と修正した。 | ||
4. | 国立大学共同利用法人教員 | 1) 「A1001 情報システム運用基本規程」第2条(適用範囲)においては、適用範囲が明確に示されている。一方第3条(定義)において、「二 情報ネットワーク」についての定義は明確だが、「一 情報システム」については範囲が明確になっていない。大学等においては、学生、来訪者が大学敷地内へ持ち込む私物あるいは他組織のPCなども多く、どこまでがこの規定の適用範囲かを明確にすべきではないか? 案として「本学が所有又は管理する情報処理システム」と、「情報ネットワークに接続されている全ての情報処理システム」をカテゴリーとして分け、適用するべき条文にどちらに対して適用されるか明記してはどうか? | 意見を踏まえ、「情報システム」の定義を以下に修正:「情報処理及び情報ネットワークに係わるシステムで、次のものをいい、本学情報ネットワークに接続する機器を含む。(1)本学により、所有又は管理されているもの (2)本学との契約あるいは他の協定に従って提供されるもの」 |
2) 「A2201 情報システム利用規程」第14条 第3項「利用者は研究室などでウェブサーバーを運用しようとする場合は(中略)公開に当たって(中略)サーバーを設定しなければならない。」とあるが、最近は機器の設定に内蔵のWebサーバーが使われることも多く、また公開の範囲(どこへ)も不明確と考える。本項の適用は「学外へ(あるいは部局外へ)情報が公開される場合は」とすべきではないか? 変更案:「利用者はウェブサーバーを運用し情報を学外へ公開する場合は(以下原文と同じ)」 |
第3項は2つの異なる事項を扱っていたため分割し、意見をもとに新第4項を新設のうえ以降の項番を繰り下げた。 | ||
3) 「A3201 PC 取扱ガイドライン」2-3-fにおいて「CDROM等、外部記憶メディアから起動できないようにBIOSを設定し、BIOSパスワードを設定すること。」 とあるが、これでは研究目的でのCD-ROMブートや、多数の端末を管理するためのネットワークブートも不可能になってしまう。「管理権限を持たない者が CD-ROM等、外部記憶メディアから起動できないようにBIOSを設定し、BIOSパスワードを設定すること。但し、特に必要があるものはこの限りではない。」に変更できないか? | 意見を踏まえ、「管理権限をもたない者によってCD-ROM 等、外部記憶メディアから起動されないようにBIOSを設定し、BIOS パスワードを設定すること。」に修正した。 | ||
4) 「A3201 PC取扱ガイドライン」2-3-gにおいて、「要管理情報やその他重要な情報が残留することのないように」 とあるが、このままでは要管理情報が取り扱われたPCであるかないかによらず、完全に消去しなければいけないという条文になっている。本項の適用範囲が学内ネットワークに接続された私物PCも含むため、これは事実上不可能。以下のような変更を強く希望する。 変更案:「要機密情報または外部に漏えいすることにより本学の利益が損なわれる情報を取り扱った端末を廃棄、あるいは譲渡する場合は、内部ハードディスクや不揮発性メモリーに、これら情報が残留することのないように、専用ツールを用いて完全に消去するか、物理的に破壊すること。」 (重要な情報であっても公開可能な要安定情報などは含まれない。) | 意見を踏まえ、要管理情報やその他重要な情報を扱うことのなかった端末を除外可能とする考え方を解説に追加した。あわせてリース、レンタルの返却時を追記。 | ||
5) 「A3201 PC取扱ガイドライン」1-6-c「使用済みの外部記憶メディア(中略)専用ツールを用いて消去するか、メディアを物理的に破壊すること」これについても上記4)と同様要機密情報等に限るべき。 | 意見を踏まえ、要管理情報やその他重要な情報を扱うことのなかった端末を除外可能とする考え方を解説に追加した。 | ||
6) 「A3202 電子メール利用取扱ガイドライン」の4.3 (2)「利用者は大学が整備した電子メール以外の情報システムを用いて電子メールを送受信する必要がある場合には、電子メールシステムの部局技術担当者及び上司の許可を得ること。」 において、学内の活動のほぼすべてについて、学外メールサーバの使用を禁止している。 しかしながら、こういった活動についても携帯電話メールは対象者のほぼ全員が使用しているため、この条項は実質的ではないと考える。事務連絡などの受取先に学生が携帯電話メールを使っているのは普通のことだが、携帯電話メールは外部プロバイダの提供する電子メールシステムであることには変わりない。本条の(2),(4)については「本学」ドメインの付与されたアドレスをfromとして電子メールを送信する場合に限定すべき。 | 意見を踏まえ、(2)に「明示的に許可されている場合を除き、」を加えるとともに、解説として許可を与える事例とその際に考慮すべき事項を記述した。 | ||
7) このような大部の規程へ対する意見募集が、たった1週間というのは読ませていただくほうとしてもかなり無理がある。次版の意見募集の際は期間をせめて2週間に設定していただけないか? | 策定日程の都合で募集機関が短くなったにもかかわらずご意見をいただいたことに感謝する。ご指摘の旨を次版の関係者へ申し送るようにする。 | ||
5. | 国立大学職員 | 1) 「A2201 情報システム利用規程」第6条(厳守事項)について、条項の順番として第3条(適用範囲)の次のあるのが適切ではないか? 第4条(アカウントの申請)、第5条(IDとパスワードによる認証の場合)とかなり具体的な条項であるので、それよりも前に位置づけられるのが適切ではないかと考える。 | 意見の通り修正した。 |
2) 「A2201 情報システム利用規程」第10条(禁止事項)において、1号から14号までは、「…の発信」「…する行為」などの文体であるが、15号は、「…利用してならない。…を得なければならない。」となっており、文体の整合性を取るのが適切だと考える。 (例)十五 P2Pソフトウェアについては、情報セキュリティ責任者の許可を得ないで利用する行為、教育・研究目的以外に利用する行為。 |
意見を踏まえるとともに15号の重要性を鑑み、15号を第10条の2項として修正した。 | ||
3) 「A2201 情報システム利用規程」第10条(禁止事項)7号「営業ないし商業を目的とした本学情報システムの利用」について、この想定されるA大学では、学内ベンチャーや生協などの大学内ある営利組織には一切利用を認めないのか? その他の例として、学会などにおいて業者がデモする場合や大学自体が有料の講習会などを行う場合などがある。次のような但し書き追加は検討されていないのか?「ただし、全学総括責任者が認めた場合はこの限りではない。」 | 「A1001 情報システム運用基本規程」第3条九号「教職員等」の解説にあるように、大学の活動との関連で同窓会、生協、TLO、インキュベーションセンター、地域交流センター、財団などが利用することは想定される。ただし、その利用の目的を大学の教育・研究活動および運営を支援する業務に限定して、営利業務のネットワークを別に用意するとしている大学の例があり、A大学もそのような運用をしていると考える。ただし、大学施設内の組織や関連事業の営利業務に利用できることを利用規程の定め、あるいは全学総括責任者の判断によって認めるような方針もありえるので、この趣旨の解説を付記した。 | ||
4) 文体について 利用規程集の文面の中で、手順やガイドラインを記載している部分があるが「 」を付与したところとそうでないところがあるので、統一すべきではないか? |
意見を踏まえ、「文書番号 文書名」の様式で統一した。 | ||
6. | 国立大学教員 | ○ 留学生や、外国人訪問者などの短期利用者も対象にしているのであるから、せめて利用規程など利用者が理解することを義務付けているものや、教育テキスト作成ガイドライン(一般利用者向け)については、参考訳でいいので英語版を用意してほしい。 | ご指摘の旨を次版の関係者へ申し送るようにする。 |
− | 国立大学教員 (昨年度意見No.4の再掲) |
○ 「本学情報システム」(A大学情報システム)の範囲がよく分からない。対象となる「情報」の範囲について、規程により文言が異なり、範囲が不明確である。規律をする情報資産の対象範囲について、明確にしていただきたい。 (昨年度の結果において「今後検討する」と回答していたもの) |
上記4の1)への回答にて対応した。 |