1.目的
情報の格付けは、高知県公立大学法人(以下「本法人」という。)における情報セキュリティポリシー及び関連規程に沿った対策を適正に実施するための基礎となる重要な事項である。
情報の格付け及び取扱制限は、その作成者又は入手者が、当該情報をどのように取り扱うべきかと考えているのかを他の者に認知させ、当該情報の重要性や講ずべき情報セキュリティ対策を明確にするための手段である。このため、情報の格付け及び取扱制限が適切に行われないと、当該情報の取扱いの重要性が認知されず、必要な対策が講じられないことになってしまう。
また、情報の格付け及び取扱制限を実施することで、情報の利用者に対し、日々の情報セキュリティ対策の意識を向上させることができる。具体的には、情報を作成又は入手するたびに格付け及び取扱制限の判断を行い、情報を取り扱うたびに格付け及び取扱制限に従った対策を講ずることで、情報と情報セキュリティ対策が不可分であることについての認識を継続的に維持する効果も生ずる。
本基準は、情報の格付け及び取扱制限の意味とその運用について教職員等が正しく理解することを目的とする。
(定義)
2.本基準における用語の定義は次のとおりである。
(1)機密性 情報に関して、アクセスを認められた者だけがこれにアクセスできる特性をいう。
(2)完全性 情報が破壊、改ざん又は消去されていない特性をいう。
(3)可用性 情報へのアクセスを認められた者が、必要時に中断することなく、情報にアクセスできる特性をいう。
3.本基準の対象者
本基準は、情報を取り扱うすべての教職員等を対象とする。
4.格付けの区分及び取扱制限の種類の定義
4.1 格付けの区分
(1)情報の格付けの区分は、機密性、完全性、可用性について、それぞれ以下のとおりとする。
(2)機密性についての格付けの定義
格付の区分 | 分類の基準 |
機密性3情報 | 本法人で取り扱う情報のうち、特段の機密性を要する情報。 特に重要な取扱いが必要と認められるものは、別途定めることができる。 |
機密性2情報 | 本法人で取り扱う情報のうち、特段の機密性は要しないが、漏えいにより、本法人の権利が侵害され又は本法人業務の遂行に支障を及ぼすおそれがある情報 |
機密性1情報 | 公表済みの情報、公表しても差し支えない情報等、機密性2情報又は機密性3情報以外の情報 |
なお、機密性2情報、機密性3情報を「要機密情報」という。
(3)完全性についての格付けの定義
格付の区分 | 分類の基準 |
完全性2情報 | 本法人で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、本法人の権利が侵害され又は法人業務の適切な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 |
完全性1情報 | 完全性2情報以外の情報(書面を除く。) |
なお、完全性2情報を「要保全情報」という。
(4)可用性についての格付けの定義
格付の区分 | 分類の基準 |
可用性2情報 | 本法人で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、本法人の権利が侵害され又は法人業務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 |
可用性1情報 | 可用性2情報以外の情報(書面を除く。) |
なお、可用性2情報を「要安定情報」という。
また、要機密情報、要保全情報及び要安定情報を「要保護情報」という。
4.2 取扱制限の種類
情報の取扱制限の種類は、機密性、完全性、可用性について、それぞれ以下のとおりとする。
4.2.1 機密性についての取扱制限
機密性についての取扱制限の定義
取扱制限の種類 | 指定方法 |
複製について | 複製禁止、複製要許可 |
配付について | 配付禁止、配付要許可 |
暗号化について | 暗号化必須、保存時暗号化必須、通信時暗号化必須 |
印刷について | 印刷禁止、印刷要許可 |
転送について | 転送禁止、転送要許可 |
転記について | 転記禁止、転記要許可 |
再利用について | 再利用禁止、再利用要許可 |
送信について | 送信禁止、送信要許可 |
参照者の制限について | ○○限り |
期限について | ○月○日まで○○禁止 |
4.2.2 完全性についての取扱制限
完全性についての取扱制限の定義
取扱制限の種類 | 指定方法 |
保存期間について | ○○まで保存 |
保存場所について | ○○において保存 |
書換えについて | 書換禁止、書換要許可 |
削除について | 削除禁止、削除要許可 |
保存期間満了後の措置について | 保存期間満了後要廃棄 |
4.2.3 可用性についての取扱制限
可用性についての取扱制限の定義
取扱制限の種類 | 指定方法 |
復旧までに許容できる時間について | ○○以内復旧 |
保存場所について | ○○において保存 |
5.格付け及び取扱制限の手順
5.1 格付け及び取扱制限の決定
5.1.1 決定
教職員等は、情報の作成時又は情報を入手しその管理を開始する時に、当該情報について、電磁的記録については機密性、完全性、可用性の観点から、書面については機密性の観点から、格付け及び取扱制限の定義に基づき、その決定を行う。(取扱制限の必要性の有無を含む。)
5.1.2 決定に当たっての注意事項
教職員等は、格付け及び取扱制限の決定に当たっては、要件に過不足が生じないように注意する。
5.2 格付け及び取扱制限の指定
教職員等は、決定した格付け及び取扱制限に基づき、その指定を行う。
5.3 格付け及び取扱制限の明示等
教職員等は、情報の格付け及び取扱制限を指定した場合には、それを認識できる方法を用いて明示等する。
5.4 格付け及び取扱制限の継承
教職員等は、情報を作成する際に、参照した情報又は入手した情報が既に格付け又は取扱制限の指定がなされている場合には、元となる格付け及び取扱制限を継承する。
5.5 格付け及び取扱制限の変更
5.5.1 格付け及び取扱制限の再指定
教職員等は、元の情報の修正、追加、削除のいずれかにより、他者が指定した情報の格付け及び取扱制限を再指定する必要があると思料する場合には、決定と指定の手順に従って処理する。
5.5.2 格付け及び取扱制限の見直し
(1)教職員等は、元の情報への修正、追加、削除のいずれもないが、元の格付け又は取扱制限がその時点で不適当と考えるため、他者が指定した情報の格付け及び取扱制限を見直す必要があると思料する場合には、その指定者若しくは決定者又は同人らが所属する上司に相談する。
(2)相談者又は被相談者は、情報の格付け及び取扱制限について見直しを行う必要性の有無を検討し、必要があると認めた場合には、当該情報に対して新たな格付け及び取扱制限を決定又は指定する。
(3)相談者又は被相談者は、情報の格付け及び取扱制限を見直した場合には、それ以前に当該情報を参照した者に対して、その旨を可能な限り周知し、同一の情報が異なる格付け及び取扱制限とならないように努める。
(4)教職員等は、自らが指定した格付け及び取扱制限を変更する場合には、その以前に当該情報を参照した者に対して、その旨を可能な限り周知し、同一の情報が異なる格付け及び取扱制限とならないように努める。
5.5.3 変更後の指定者
情報の格付け及び取扱制限を変更する者は、変更後の格付け及び取扱制限の指定者について、変更前の指定者が継続するのか、変更者が新たに指定者となるのかについて明確にする。
6.既存の情報についての措置
6.1 既存の情報について
(1)教職員等は、本規程の施行日以前に作成又は入手した情報を取り扱う場合には、当該情報の格付けを行う。
(2)教職員等は、本規程の施行日以前に作成又は入手した情報を取り扱う場合には、取扱制限の必要性の有無を検討し、必要と認めるときは、それを行う。
7.その他
7.1 高知県公立大学法人公文書管理規程に定められる公文書に該当する情報の場合、当該情報の格付け、取扱制限、管理方法等は、この基準に定めるもののほか、同規程の定めるところによる。
7.2 高知県公立大学法人における個人情報の保護に関する規程に定められる個人情報に該当する情報の場合、当該情報の格付け、取扱制限、管理方法等は、この基準に定めるもののほか、同規程の定めるところによる。
附 則
この基準は、令和6年4月1日から施行する。