○宮崎大学が保有する情報の格付け及び取扱制限に関する規程
平成30年3月22日
制定
(趣旨)
第1条 この規程は、宮崎大学情報セキュリティ基本規程(以下「基本規程」という。)第15条第3項の規定に基づき、宮崎大学(以下「本学」という。)が保有する情報資産に係る情報の格付け及び取扱いに関し必要な事項を定める。
(対象者)
第2条 この規程は、基本規程第3条第5号に規定する教職員等のうち、本学において情報を取り扱う者を対象とする。
(格付けの区分)
第3条 情報の格付けの区分は、機密性、完全性及び可用性について、次の各号のとおりとする。
(1) 機密性についての格付けの定義
格付けの区分 | 分類の基準 |
機密性3情報 | 漏洩により、利用者の権利が侵害され又は本学活動の遂行に支障を及ぼすおそれがある情報 |
機密性2情報 | 機密性3情報に相当する機密性は要しないが、公開を前提としていない情報 |
機密性1情報 | 機密性2情報又は機密性3情報以外の情報 |
(2) 完全性についての格付けの定義
格付けの区分 | 分類の基準 |
完全性2情報 | 改ざん、誤びゅう又は破損により、利用者の権利が侵害され又は本学活動の遂行に支障を及ぼすおそれがある情報 |
完全性1情報 | 完全性2情報以外の情報 |
(3) 可用性についての格付けの定義
格付けの区分 | 分類の基準 |
可用性2情報 | 滅失、紛失又は当該情報が利用不可能であることにより、利用者の権利が侵害され又は本学活動の遂行に支障を及ぼすおそれがある情報をいう。 |
可用性1情報 | 可用性2情報以外の情報 |
2 前項第1号に規定する格付けの区分のうち、機密性3情報及び機密性2情報を要機密情報という。
3 第1項第2号に規定する格付けの区分のうち、完全性2情報を要保全情報という。
4 第1項第3号に規定する格付けの区分のうち、可用性2情報を要安定情報という。
5 前3項に規定する要機密情報、要保全情報及び要安定情報を要保護情報という。
(取扱制限の種類)
第4条 取扱制限の種類は、機密性、完全性、可用性について、次の各号のとおりとする。
(1) 機密性についての取扱制限の種類及び指定方法
取扱制限の種類 | 指定方法 |
複製について | 複製禁止、複製要許可 |
配付について | 配付禁止、配付要許可 |
暗号化について | 暗号化必須、保存時暗号化必須、通信時暗号化必須 |
印刷について | 印刷禁止、印刷要許可 |
転送について | 転送禁止、転送要許可 |
転記について | 転記禁止、転記要許可 |
再利用について | 再利用禁止、再利用要許可 |
送信について | 送信禁止、送信要許可 |
持ち出しについて | 持ち出し禁止、持ち出し要許可 |
参照者の制限について | 関係者限り、教職員限り |
(2) 完全性についての取扱制限の種類及び指定方法
取扱制限の種類 | 指定方法 |
保存期間について | ○○まで保存 |
保存場所について | ○○において保存 |
書換えについて | 書換禁止、書換要許可 |
削除について | 削除禁止、削除要許可 |
保存期間満了後の措置について | 保存期間満了後要廃棄 |
(3) 可用性についての取扱制限の種類及び指定方法
取扱制限の種類 | 指定方法 |
復旧までに許容できる時間について | ○○以内復旧 |
(格付け及び取扱制限の決定)
第5条 教員にあっては部局長、事務局各課及び監査室にあっては課長及び室長、学部等の事務部にあっては事務長等(以下「格付け等決定責任者」という。)は、教職員等による情報の格付けの適正性を確保するため、所掌する業務で取り扱う情報について、電磁的記録については機密性、完全性、可用性の観点から、書面については機密性の観点から、情報の格付け及び取扱制限のいずれに分類されるものであるのかを例示した表(以下「情報の格付け及び取扱制限の判断例示表」という。)を作成し、当該情報の格付け及び取扱制限を決定するものとする(取扱制限の必要性の有無を含む。)。
(格付け及び取扱制限の指定)
第6条 教職員等は、職務上作成し、又は取得した情報を情報の格付け及び取扱制限の判断例示表に基づき、それぞれの情報の格付けを指定するものとする。
2 教職員等は、要保護情報について、取扱制限の種類及び指定方法に応じ、それぞれに適切な取扱制限を指定するものとする。
(格付け及び取扱制限の明示)
第7条 教職員等は、情報の格付け及び取扱制限を指定した場合には、それを認識できる方法を用いて明示するものとする。
(格付け及び取扱制限の継承)
第8条 教職員等は、情報の格付け及び取扱制限を指定するにあたっては、当該情報の保有に際し参照又は取得した情報に既に格付け又は取扱制限の指定がなされている場合は、当該情報の格付け又は取扱制限を継承するものとする。
(格付け及び取扱制限の変更)
第9条 教職員等は、元の情報の修正、追加、削除のいずれかにより、他者が指定した情報の格付け及び取扱制限を再指定する必要があると思料する場合には、決定と指定の手順に従って処理するものとする。
(格付け及び取扱制限の見直し)
第10条 教職員等は、元の情報への修正、追加、削除のいずれもないが、元の情報の格付け又は取扱制限がその時点で不適当と考えるため、他者が指定した情報の格付け及び取扱制限を見直す必要があると思料する場合には、その指定者若しくは決定者又は教職員等が所属する格付け等決定責任者に相談するものとする。
(1) 相談者又は被相談者は、情報の格付け及び取扱制限について見直しを行う必要性の有無を検討し、必要があると認めた場合には、当該情報に対して新たな情報の格付け及び取扱制限を決定又は指定するものとする。
(2) 相談者又は被相談者は、情報の格付け及び取扱制限を見直した場合には、それ以前に当該情報を参照した者に対して、その旨を可能な限り周知し、同一の情報が異なる情報の格付け及び取扱制限とならないように努めるものとする。
(3) 教職員等は、自らが指定した情報の格付け及び取扱制限を変更する場合には、その以前に当該情報を参照した者に対して、その旨を可能な限り周知し、同一の情報が異なる情報の格付け及び取扱制限とならないように努めるものとする。
(既存の情報についての措置)
第11条 教職員等は、この規程の施行日以前に作成又は入手した情報を取り扱う場合には、情報の格付け及び取扱制限の必要性の有無を検討し、必要と認めるときは、情報の格付け及び取扱制限の判断例示表に基づき、その指定を行うものとする。
附則
この規程は、平成30年4月1日から施行する。
附則
この規程は、令和2年4月1日から施行する。