○国立大学法人北海道大学における情報の格付け及び取扱制限に関する基準
平成24年4月1日
最高情報セキュリティ責任者裁定
(趣旨)
第1条 この基準は、国立大学法人北海道大学情報セキュリティ基本規程(平成28年海大達第202号。以下「基本規程」という。)第7条の規定に基づき、国立大学法人北海道大学(以下「本学」という。)が保有する情報に対し、本学に勤務する役員及び職員(以下「役職員」という。)が格付け及びそれに基づく取扱制限を行うことについて必要な事項を定めるものとする。
(目的)
第2条 情報の格付けは、本学の各規程等に沿って情報を適切に取り扱うための基礎となる重要な事項である。
情報の格付け及び取扱制限は、その作成者又は入手者が、当該情報をどのように取り扱うべきと考えているのかを他の者に認知させ、当該情報の重要性や講ずべき対策を明確にするための手段である。このため、情報の格付け及び取扱制限が適切に行われなければ、当該情報の取扱いの重要性が認知されず、必要な対策が講じられないことになってしまう。
また、情報の格付け及び取扱制限を実施することで、情報の利用者に対し、日々の取り扱いに関する意識を向上させることができる。具体的には、情報を作成又は入手するたびに格付け及び取扱制限を判断し、情報を取り扱うたびに格付け及び取扱制限に従った取り扱いが適切になされることで、情報と対策が不可分であることについての認識の徹底が継続的に維持される効果も生ずる。
本基準は、情報の格付け及び取扱制限の意味とその運用について役職員が正しく理解し、かつ、適切に実施することを目的とする。
(定義)
第3条 この基準で使用する用語は、基本規程で使用する用語の例による。
(1) 格付け 情報の重要性や価値等を機密性、完全性及び可用性の観点から主体的にランク付けすることをいう。
(2) 取扱制限 情報を取り扱う際の制限事項をいう。
(3) 明示等 情報を取り扱う構成員が、当該情報の格付けについて、共通の認識を持つことができるように、当該情報に対して行う、表示、記述、その他の措置をすることをいう。
(本基準の対象者)
第4条 本基準は、情報を取り扱うすべての構成員を対象とする。
2 原則として、情報資産を取り扱う、構成員以外の者も本基準の対象とする。情報資産を取り扱う機会を与えた構成員は、基本規程及び本基準の意義を、当該情報資産を取り扱う構成員以外の者に徹底しなければならない。
(格付けの区分)
第5条 格付けの区分は、以下のとおりとする。
本学における格付けの区分 | 政府統一基準※1による格付けの区分 | 分類の基準 |
機密性3+情報 (極秘情報) | 機密性3 | 秘密保全の必要性が高く、その漏えい等により個人等の権利や秘密、財産を侵害、又は名誉、信用を損なうおそれのある情報、又は本学の安全、利益に損害を与えるおそれのある情報 |
機密性3情報 (関係者外秘情報) | 機密性3+情報に相当する機密性は要しないが、その漏えい等により個人等の権利が侵害される、又は本学の事務・事業の適正な遂行に支障を及ぼすおそれのある情報 | |
機密性2情報 (学内限定情報) | 機密性2 | 非公開の情報のうち、機密性3情報以上に相当する機密性を要せず、漏えい等により本学の事務・事業の適正な遂行に支障を及ぼす可能性が低い情報 |
機密性1情報 (公開情報) | 機密性1 | 公開している、又は公開と同等以下の機密性を有する情報 |
※1 「政府機関等の情報セキュリティ対策のための統一基準(平成30年7月25日内閣サイバーセキュリティセンター(NISC)サイバーセキュリティ戦略本部決定)」で規定される格付け区分。
(取扱制限の種類)
第6条 取扱制限の種類は、以下のとおりとする。ただし、このほか、特に厳重な取扱いが必要な情報については、必要に応じて要求する取扱制限を指定することができる。
取扱制限の種類 | 指定方法 |
複製 | 複製禁止、複製要許可 |
配付 | 配付禁止、配付要許可、配布範囲指定 |
暗号化 | 暗号化必須※2 |
印刷 | 印刷禁止、印刷要許可 |
転記 | 転記禁止、転記要許可 |
送信 | 送信禁止、送信要許可 |
参照者 | 担当者限り、関係者限り、部局内限り、委員会出席者限り、○○課内限り、役職員限り、○○限り |
書換え | 書換え禁止、書換え要許可 |
保存場所 | 要オフライン機器保存※3、学内設置ファイルサーバにて保存、○○○システムにて保存、施錠されたキャビネット・書庫等にて保存、執務室のデスクトップPCにて保存、指定箇所限り |
※2 ファイル単位で暗号化して保存され、パスワード等、暗号化に要する情報を知り得ない者は内容を知り得ない状態であること。
※3 物理的にあらゆるネットワークから遮断され、隔離された計算機、ストレージ、システム環境を用い、インターネット等、担当部署外において接続不可能な状態であること。
また、「標準的格付け基準」を下回る指定としたい特段の事情がある場合には、部局等情報セキュリティ責任者から最高情報セキュリティ責任者へ様式1により事前に届け出て許可を得るものとする。ただし、この場合においても、最高情報セキュリティ責任者が「標準的格付け基準」に基づくことが必要と認めた場合には、最高情報セキュリティ責任者が格付けを指定することができる。
(格付け及び取扱制限の遵守)
第8条 役職員は、取扱制限が指定されている情報を取り扱う際には、当該制限を守り情報を取り扱わなければならない。
また、構成員のうち学生に対して、当該情報を取り扱う際に遵守すべき事項について周知及び監督する義務を負うものとする。
さらに、その取扱いに許可が必要となる情報については、部局等情報セキュリティ責任者又は当該責任者から委任を受けた者、又は決裁権限者の許可を得て取り扱わなければならない。
(格付け及び取扱制限の明示等)
第9条 役職員は、情報の格付け及び取扱制限を指定した場合には、それを認識できる方法を用いて明示等を行うものとする。
明示等とは、具体的には以下の各号のいずれかのとおりとする。
(1) 電磁的記録として取り扱われる情報に明示する場合
イ 電磁的記録の本体である文書ごとにヘッダ部分又は情報の内容へ直接記載
ロ 電磁的ファイル等の取扱単位ごとにファイル名自体へ記載
ハ フォルダ単位等で取り扱う情報は、フォルダ名に記載
ニ 電子メールで取り扱う情報は、メール本文又はメールの件名に記載
(2) 外部電磁的記録媒体に保存して取り扱う情報に明示する場合
イ 保存する電磁的ファイル又は文書等の単位ごとに記載
ロ 外部電磁的記録媒体本体に記載
(3) 書面に印刷されることが想定される場合
イ 書面のヘッダ部分等に記載
ロ 冊子等の単位で取り扱う場合は、冊子の表紙又は裏表紙等に記載
(4) 既に書面として存在している情報に対して格付け及び取扱制限を明示する場合
イ 手書きによる記入
ロ スタンプ等による押印
(格付け及び取扱制限の明示等の省略)
第10条 役職員は、以下の各号の場合において情報の格付け及び取扱制限の明示等を省略することができる。ただし、本学以外の機関で指定された格付け及び取扱制限についてはその明示等を省略せず取り扱うものとする。
(1) 格付け及び取扱制限の明示等を省略できる場合
イ 機密性1情報又は機密性2情報を取り扱う場合
ロ 特定の情報システムに記録される情報及び出力等される情報の格付けについて、規則又はマニュアル等に明記している場合
(2) 取扱制限の明示等を省略できる場合
イ 別表1に基づいた取扱制限として取り扱う場合
ロ 参照者に学外者を含む場合は、当該学外者へ本学の標準的格付基準を通知している場合
(格付け及び取扱制限の継承)
第11条 既に格付け及び取扱制限の指定がなされている情報に基づいて新たな情報を作成する際には、 元の情報の格付け及び取扱制限の継承を原則とする。ただし、各情報を集約した統計データ等、元の情報を辿れないことが明らかである情報を作成する場合は、この限りでない。
(格付け及び取扱制限の見直し)
第12条 役職員は、情報の修正、追加、削除、時間経過等により、必要があると認めた場合には、第7条の例により、当該情報に対して格付け及び取扱制限の見直しを行うものとする。
なお、時期に応じた変更の必要性が事前に明らかである情報の格付け及び取扱制限については、その時期を付して、見直し内容をあらかじめ指定することができる。
(既存の情報についての措置)
第13条 役職員は、本基準の施行日以前に作成し、又は入手した情報を取り扱う場合には、「標準的格付け基準」に基づき、当該情報の格付けを行うものとする。
(機密性以外の格付けの取り扱い)
第14条 一般的に機密性以外の格付けの定義として、以下の完全性及び可用性があるが、本学においては、「完全性2、可用性2」を標準として取り扱い、これらの格付けの明示等は要しないこととする。ただし、最高情報セキュリティ責任者が特に指定する場合は、この限りではない。
なお、役職員が、取り扱う情報の完全性又は可用性を指定又は明示することは妨げないが、その指定又は明示に疑義がある場合、最高情報セキュリティ責任者及び部局等情報セキュリティ責任者は、これらを変更することができる。
格付けの区分 | 分類の基準 | 取り扱い制限 | |
完全性(情報が破壊、改ざん又は消去されていない状態を確保することをいう。) | 完全性2情報 | 改ざん、過失又は破損により、個人等の権利が侵害される、又は本学の事務・事業の適正な遂行に支障(軽微なものを除く。)を及ぼすおそれのある情報(書面を除く。) | 書換え要許可 |
完全性1情報 | 完全性2情報以外の情報(書面を除く。) | ― | |
可用性(情報へのアクセスを許可された者が、必要時に中断することなく、情報にアクセスできる状態を確保することをいう。) | 可用性2情報 | 当該情報が利用不可能であることにより、個人等の権利が侵害される、又は本学の事務・事業の適正な遂行に支障(軽微なものを除く。)を及ぼすおそれのある情報(書面を除く。) | 復旧までに許容できる標準時間3日以内(土日祝日を除く) |
可用性1情報 | 可用性2情報以外の情報(書面を除く。) | ― | |
(雑則)
第15条 この基準に定めるもののほか、情報の格付け及び取扱制限に関し必要な事項は、別に定める。
附則
この内規は、平成24年4月1日から実施する。
附則(平成28年10月1日)
この内規は、平成28年10月1日から実施する。
附則(令和4年3月31日)
この基準は、令和4年3月31日から実施する。
附則(令和5年4月1日)
この基準は、令和5年4月1日から実施する。
別表1 取扱制限の標準(第7条関係)
情報 取扱制限 | 機密性3+情報 (極秘情報) | 機密性3情報 (関係者外秘情報) | 機密性2情報 (学内限定情報) | 機密性1情報 (公開情報) |
複製 | 要許可 | 要許可 | ― | ― |
配付 | 要許可 | 要許可 | ― | ― |
暗号化 | 暗号化必須 | 暗号化必須 | ― | ― |
印刷 | 要許可 | 要許可 | ― | ― |
転記 | 要許可 | 要許可 | ― | ― |
送信 | 要許可 | 要許可 | ― | ― |
参照者の制限 | 担当者限り | 関係者限り | 学内限り | ― |
書換え | 要許可 | 要許可 | ― | ― |
保存場所 | 要オフライン機器保存/施錠されたキャビネット・書庫等にて保存 | 学内設置ファイルサーバにて保存/施錠されたキャビネット・書庫等にて保存 | ― | ― |
別表2 類型による情報格付けの標準例(第7条関係)
格付けの区分 | 類型 |
機密性3+情報 (極秘情報) | 秘密保全の必要が高く、その漏えい等により個人等の権利や秘密を侵害、又は名誉、信用を損なうおそれのある情報、又は本学の安全、利益に損害を与えるおそれのある機密性を要する情報 ①要配慮個人情報(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報。) ②個人情報のうち、個人識別符号を含む個人情報及び特定個人情報(マイナンバーをその内容に含む個人情報)並びにこれに相当する個人を特定する情報(個人の銀行口座、自宅住所等) ③実施前の各種試験問題作成に関する情報 ④産業競争力及び安全保障上の観点から、漏えい等により、政治的、法的な問題を生じるおそれのある未公開の研究情報 ⑤その他、担当者限りに取扱制限をすることが相応しい情報 ⑥上記各項目を扱う情報システムのID、パスワード、情報セキュリティ関連情報 |
機密性3情報 (関係者外秘情報) | 機密性3+情報に相当する機密性は要しないが、その漏えい等により個人等の権利が侵害される、又は本学の事務・事業の適正な遂行に支障を及ぼすおそれのある情報 ①個人情報のうち機密性3+情報に相当する機密性は要しないが、その漏えい等により個人の権利が侵害される情報 ②受験生・学生の成績関連情報 ③入学料・授業料等減免関連情報 ④特許取得の可能性等、権利関係が複雑かつ未公開の研究情報 ⑤その他、関係者限りに取扱制限をすることが相応しい情報 ⑥上記各項目を扱う情報システムのID、パスワード、情報セキュリティ関連情報 |
機密性2情報 (学内限定情報) | 機密性3情報以上に相当する機密性を要せず、漏洩等により本学の事務・事業の適正な遂行に支障を及ぼす可能性が低い情報 ①個人情報のうち、その職及び職務遂行の内容に係る情報 ②公開を前提としない情報 ③公開前会議資料 ④未公開の研究情報 ⑤その他、役職員限りに取扱制限をすることが相応しい情報 |
機密性1情報 (公開情報) | 公開している、又は公開と同等の機密性を有する情報 ①個人情報のうち、慣行として公にされ、又は公にすることが予定されている情報 ②大学案内 ③ホームページ掲載関連情報 ④大学広報誌 ⑤受験案内 ⑥学生募集要項 ⑦学内規則 ⑧統計資料 ⑨実績報告書 ⑩公開済みの研究情報 ⑪その他、公開することが前提となっている情報 |
