早稲田大学(以下、本学)では、個人情報の保護が人格の尊厳に由来する基本的要請であることを深く認識して、1995年5月に「個人情報の保護に関する規則」を定め、個人情報の取り扱いを厳正に行ってきました。2005年4月1日より「個人情報の保護に関する法律(個人情報保護法)」が全面的に施行されましたが、本学は引き続き法律を遵守し、個人情報を安全かつ適正に管理・運用することに努めます。
1.個人情報の収集と利用目的について
個人情報とは、学生、保証人、教職員等について特定の個人が識別され、または識別可能なものをいい、本学では教育研究、学生・生徒支援、大学運営上、必要 と認められる個人情報に限り、以下の利用目的のために収集します。また、必要に応じて収集した個人情報に基づき、学生・生徒、保証人への連絡を行います。
【利用目的】
1. 学籍管理、学籍異動管理、健康管理、奨学金管理
2. 履修登録、成績管理、授業運営
3. 大学、大学院等の学内進学・転部、卒業後の進路に関する情報管理
4. 学生・生徒証、各種証明書の発行
5. 学費情報管理、口座情報管理
6. 学生生活・課外活動支援
7. 就職関係情報の作成、管理
8. 学内施設・設備の利用管理、防犯カメラの設置による映像情報管理
9. 図書館利用情報管理
10. 成績通知書及び履修状況の保証人への送付
11. 保証人との成績、履修相談
12. 大学・学校の広報誌、催し物案内、募金依頼関係の案内
13. 卒業後の各種案内送付
14. 学術交流協定などによる協定大学への情報提供
15. 早稲田大学学生健康増進互助会(管理責任者:学生部事務部長)への必要情報の提供
16. 早稲田大学校友会(管理責任者:本学総長)への必要情報の提供
17. 所属する学部、研究科において学生・教員で構成される学会組織(管理責任者:各学部長)への必要情報の提供
18. 公費助成推進のための教職員組合への必要情報の提供
2.個人情報の安全管理について
本学は、個人情報が不正に利用されたり、紛失・滅失、改ざんおよび漏洩することのないよう厳重に管理するとともに、個人情報を扱う教員、職員、その他本学の業務に従事する者への管理教育・研修を行います。
3.第三者への提供について
本学は、個人情報を本人の同意なしに第三者に提供することはいたしません。ただし、法律の定める例外(個人情報保護法 第23条第1~4項 )については、本人の同意なしに情報を提供することがあります。
4.外部委託について
本学からの各種送付物や、データの入力等に関して、業務の全部又は一部を外部委託することがあります。その際、当該個人情報の漏洩、流出、不正利用等がないよう、委託先に対し契約等により、必要かつ適切な管理を義務付けています。
5.個人情報の開示・訂正について
学生・生徒、保証人の皆様は、学校、所属の各学部、研究科など個人情報管理箇所において、個人情報の開示、訂正を請求することができます。
早稲田大学の情報セキュリティへの取り組み
早稲田大学では1995年5月に「個人情報の保護が人格の尊厳に由来する基本的要請」であることを深く認識し、学生、生徒、教職員等の個人情報を適 正に収集・管理・利用し、その保護を図ることを目的とした「個人情報の保護規則」を定め、独立機関である個人情報保護委員会の監視のもと、適正な取り扱いに努めてきました。
この経験を踏まえ、2002年9月には本学の管理するコンピュータ、ネットワークなどを利用し情報を扱うにあたり、守らなければならない最低限の事項として「早稲田大学情報セキュリティポリシー」をまとめ、その後2003年11月に「WIND(早稲田大学インターネットドメイン)におけるWWW用コンテンツ作成に関するガイドライン」、2004年3月には「教育・研究を目的とするWebコンテンツにおける著作物の扱いについて」などで注意を喚起しています。
こうした中、2005年4月1日より「個人情報の保護に関する法律(個人情報保護法)」が完全に施行されましたが、本学では、この機会に自己の情報を守るだけではなく、他人の情報も侵してはならないという考え方に基づき、2005年6月から毎年その内容を最新化させながら、「あなたと情報セキュリティ~個人情報と著作権」のリーフレットを学生・生徒、教員、職員それぞれに配布しています。
一方、国内では特にここ数年、コンピュータウイルスによる被害、ファイル共有ソフトを介したインターネットへの情報流出、USBメモリ等の記録媒体 の紛失から、PCの盗難やハッキング、内部者による情報漏えいなどまで、さまざまな情報セキュリティ事件・事故が頻発しています。このような状況を受け、 2009年11月より2年間、情報セキュリティ推進室を設置し、情報セキュリティに関する施策を全学展開し、教育・啓発活動を行うとともに、施策推進・管理体制の確立を目指しました。その結果として、媒体の種類(電磁的媒体、光学的媒体、紙媒体など)を問わず、本学が管理するすべての情報資産を対象とする「早稲田大学情報セキュリティポリシー」を2011年11月に新たに制定しました。
また、2010年4月からは教職員の意識向上を図り事件・事故の発生を未然に防ぐためのオンデマンド研修を開始しています。
様々な情報に対する自己の責任を明確にし、各種ルールの趣旨を改めて認識することにより、早稲田大学としてこれからも、情報セキュリティへの取り組みを推進してまいります。
早稲田大学情報セキュリティポリシー
早稲田大学(以下、「本学」という。)における教育・研究活動には、情報基盤の充実に加え、情報資産のセキュリティ確保が不可欠である。
本学では1995年5月に「個人情報の保護に関する規則」を定め、個人情報の適正な取り扱いに努めてきた。また、2000年7月に国の情報セキュリティ対策推進会議で決定した「情報セキュリティポリシーに関するガイドライン」をもとに、2002年9月、メディアネットワークセンターが本学の管理するコンピュータ、ネットワーク等を通じて情報を扱う際の最低限の遵守事項を「情報セキュリティポリシー」としてまとめ、本学における情報資産の適切な保護と情報セキュリティの向上を目指してきた。今般、これらを踏まえつつ、媒体の種類(電磁的媒体、光学的媒体、紙媒体など)を問わず、本学が管理するすべての情報資産を対象とする「早稲田大学情報セキュリティポリシー」(以下、「本ポリシー」という。)を新たに制定する。
Ⅰ.情報セキュリティの基本方針
1.目的
情報資産は本学にとって重要である。本学における教育・研究活動は、情報の収集、格納、伝達、報告といった手段に依存している。情報資産が守られなければ、本学の教育・研究活動の停滞、本学に対する信頼の喪失などといった被害を受ける可能性がある。したがって、教職員、学生、およびすべての関係者が不断の努力をもって、本学の情報資産を機密性、完全性、可用性に配慮し、保護しなければならない。本学の提供する情報資産に関連するサービスを利用する者は、本ポリシーを遵守する責任があり、意図の有無を問わず、学内外の情報資産に対する権限のないアクセスや改竄、複写、破壊、漏洩等をしてはならない。
本ポリシーが目指すものは、次のとおりである。
① 本学の情報セキュリティに対する侵害の阻止 ② 学内外の情報セキュリティを侵害する行為の抑止 ③ 情報資産の分類と管理の徹底 ④ 情報セキュリティ侵害の早期検出と迅速な対応の実現 ⑤ 情報セキュリティの評価と更新
2.対象範囲および対象者
本ポリシーの対象範囲は、本学の管理するすべての情報資産である。情報資産とは、本学が組織として管理すべき情報およびそれを管理する仕組みをいう。「情報」は、媒体(電磁的媒体、光学的媒体、紙媒体など)の種類を問わない。本学以外に保管される情報資産であっても、本学保有の情報資産として認められるものは対象となる。
本ポリシーは、本学の情報資産を利用する教職員、学生、生徒等のほか、利用を許可されたすべての者を対象とする。
3.実施方法
本学には、対象者が本ポリシーおよび各種内規等を理解し、実施できるように教育、指導する責任があり、また、本ポリシーを実施するための対策基準、実施手順は、本学の規約等によって別途定めるものとする。なお、必要があれば、各部門のそれぞれの事情に応じて、本ポリシーに反しない範囲で、独自に対策基準や実施手順を作成する。
Ⅱ.対策基準
1.組織・体制
情報セキュリティを組織的に管理運用する体制を確立するために、その役割と責任を定める。
(1)情報セキュリティ最高責任者
本学は情報セキュリティに関する総括的な意思決定を行う情報セキュリティ最高責任者(以下CISO)を置く。CISOは情報セキュリティに関する施策を定め、それを本学全体に徹底させるため必要な措置を実施する権限を有する。また、本ポリシーの解釈についてはCISOの解釈を持って最終決定とする。
(2)情報セキュリティ委員会
本ポリシーおよび情報セキュリティに関する重要事項を決定し、遵守状況の確認、評価および見直しを行うとともに、情報セキュリティ上のインシデントが発生した場合の対応状況を確認し、必要に応じて助言・指導・勧告を行う。
(3)各箇所
各箇所に情報セキュリティ責任者(箇所長)を置き、各箇所の情報セキュリティ責任者は、その箇所で保有する情報資産に責任を持つ。各箇所に情報セキュリティ管理者および情報キュリティ担当者を置き、箇所に必要な情報セキュリティ実施手順を策定し、維持するための活動を行う。
2.情報セキュリティ侵害の阻止
(1)内外の情報セキュリティを侵害する行為の抑止
学内外を問わず、あらゆる組織、団体、個人等の情報資産を侵害してはならない。
(2)アクセス制限
情報の内容に応じてアクセス可能な利用者を定め、不正なアクセスを阻止するべく必要なアクセス制限を行わなければならない。利用者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用したりしてはならない。
3.情報資産の分類と管理
本学の情報資産に関しては、それが果たすべき役割と影響を十分に認識し、常にその機密性、完全性、可用性に配慮して適切に分類し、管理しなければならない。
①機密性とは、情報に関して、アクセスを認められた者だけがこれにアクセスできる状態を確保することをいう。 ②完全性とは、情報が破壊、改竄または消去されていない状態を確保することをいう。 ③可用性とは、アクセスを認められた者が、必要時に中断することなく、情報にアクセスできる状態を確保することをいう。
4.法令等の遵守および違反への罰則
情報資産の取り扱いに関しては法令及び規制等についても遵守する必要がある。本ポリシーおよびセキュリティに関連する諸法規、条約ならびに本学が定める規約等に対する違反があった場合、本学各種規約等に従い対処する。
5.情報セキュリティおよびポリシーの評価と更新
情報資産を守るためには、適切な情報セキュリティ対策が実施されているか定期的に評価し、改善が必要と認められた場合は、速やかに更新しなければならない。また、本ポリシーの実効性を定期的に評価し、改善が必要と認められた場合には、変更内容および実施時期の決定を行い、セキュリティレベルが高く、かつ遵守可能なポリシーに更新しなければならない。 |