下川町立学校セキュリティ・ポリシー

○下川町立学校セキュリティ・ポリシー

(令和3年7月29日教委訓令第5号)

改正	令和6年4月1日教委訓令第1号

1　基本方針

(1)　はじめに

近年の情報システム・ネットワークの著しい発展に伴い、情報活用の重要性は加速度的に高まってきている。本町の町立学校においても情報の有効活用なしには円滑な教育活動の推進は望めない。

しかし、その一方では多くの教育現場において、コンピュータウイルスや不正アクセス、記録メディアの盗難や紛失、機密漏洩等の問題が発生している。このような問題が発生すると、情報資産の直接的な損失のみならず、信用失墜だけでなく損害賠償等の副次的な損失を被る可能性がある。

今日の情報化社会において、学校も教育活動のさらなる発展を目指し、保護者や地域の信頼を得るためには、個々の教職員が取り扱う情報の重要性を十分認識し、その保護・管理に努めなければならない。本セキュリティ・ポリシーは、本町の町立学校における情報資産を、故意や偶然という区別に関係なく、改ざん、破損、紛失、漏洩から保護する管理策をまとめて策定したものである。本町の教職員は、情報セキュリティマネジメントを実施するために、本セキュリティ・ポリシーを遵守しなければならない。

本セキュリティー・ポリシーにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

ア　情報リテラシー　情報機器やネットワークを活用して情報やデータを扱う上で必要となる基本的な知識や能力をいう。

イ　セキュリティインシデント　第三者による不正アクセスや、パソコンや記録媒体の紛失による情報の消失、盗難等、セキュリティにおける事故等をいう。

ア　本町の町立学校における情報資産を保護し、校務を円滑に遂行するための基本的な考え方や体制等について定めるものとする。

イ　本セキュリティ・ポリシーを教職員等に徹底し、適切なセキュリティ対策を施すことにより、各校におけるセキュリティ・レベルを向上させるとともに、保護者や地域の信頼度の向上を図る。

ア　各校では、教頭のほか教職員等で構成する「教育情報セキュリティ管理委員会(各校は、適宜名称を定める。)」(以下、「管理委員会」という。)を設置し、セキュリティを維持するとともに管理及び運営する。

イ　管理委員会の運営に関する管理責任者は、校長がこれにあたる。

(5)　適用対象者

ア　本セキュリティ・ポリシーは、各校の教職員等に対して適用される。

イ　情報資産の利活用に関して外部に委託する場合も、本セキュリティ・ポリシーを周知するものとする。

ウ　児童生徒に対しては、情報リテラシーを必要とする時間に、情報社会に参画する上での基本的な考え方や態度を指導するため、PC・タブレット利活用に関するきまりは、各校で別にこれを定める。

(6)　適用範囲

各校に整備するサーバ、クライアント(職員用PC・タブレット、児童生徒用PC・タブレット)、及び周辺機器、並びにそれらで扱う全ての情報を対象とする。また、印刷物など二次的に生産されたものにも適用される。

ア　情報資産の分類と管理方法(写しを含む。)

区分	内容	具体的な要素
S	①児童生徒に関するもの	①指導要録 ②卒業台帳 ③出席簿 ④健康診断票 ⑤児童生徒の異動に係る資料 ⑥進路先の合否に係る資料
S	②教職員に関するもの	①人事情報 ②職員台帳情報 ③家庭環境情報 ④保健情報 ⑤個人が特定される情報 ⑥校務ソフトのIDおよびパスワード
A	①児童生徒の家庭環境に係るもの	①家庭環境調査票 ②児童生徒名簿 ③学級連絡網 ④集団下校名簿 ⑤健康調査資料 ⑥一斉連絡メール等の登録者名簿 ⑦就学支援金等に係る文書
	②児童生徒の成績に関するもの	①通知表 ②成績一覧表 ③補助簿 ④テストに係る情報(テスト結果、順位、評価その他) ⑤進路情報 ⑥eライブラリのパスワード
	③特定の児童生徒の様子や行動が明らかになるもの	①事故報告書、いじめ調査またはそれに準ずるもの ②すくらむ(学校記録分) ③個別の指導計画・支援計画 ④健康観察票及び保健に関する調査結果等 ⑤相談・面接・懇談記録 ⑥記録写真（名前と顔が一致するものまたは保護者の了承を取れていないもの）
B	①児童の在籍がわかるもの	①児童生徒の氏名および顔写真が掲載されている通信 ②記録写真（名前と顔が一致せず保護者の了承を取れているもの）
	②児童生徒個人の学習の状況	①小テスト ②ワークシート ③ドリル ④児童生徒が作成した作品等
	③その他	①校務分掌に関わる文書 ②通帳及び会計簿
C	上記以外のもの	①授業に使用する資料 ②児童生徒の氏名及び写真が掲載されていない通信

イ　管理の方策(写しを含む。)

区分	方策
共通	○使用者がいない教室及び職員室机上での放置を行わない。 ○所定の場所で管理し、保存年限の経過したものは、担当者が必ず処分する。 ○学校PC以外でデータ作業を行うことを禁止する。 ○印刷した紙の処分(リサイクル含む)には最大の注意をする。
S	○職員室外への持ち出しを禁止する。
A	○データ及び印刷した文書の校外への持ち出しを禁止する。ただし、連絡網や旅行・宿泊的行事の際の健康情報等の持ち出しは、事前に申請し管理責任者の承認を得るものとする。 ○必要がなくなったものについては、保護者返却又は、裁断処分等を行う。
B	○通信類は、事前に保護者に写真掲載の承認を得る。また、掲載にあたっては顔と氏名が一致しないように配慮する。 ○作品展示が校外で行われる場合は、事前に保護者に展示の承認を得る。
C	○適切な管理を行う。

(7)　適用対象者の義務

ア　遵守の義務

教職員等は、情報資産の取扱いに際して、本セキュリティ・ポリシーおよび情報セキュリティに関する各種規定を遵守するとともに、当該規定の追加・変更などの通達があった場合には、直ちに内容を確認する。

イ　守秘義務

教職員等は、職務上知り得た情報を、職務上必要な場合を除き、第三者に開示・提供・漏洩してはならない。

ウ　説明の義務

管理委員会は、情報セキュリティ・ポリシーに追加または変更等が行われた場合には、直ちに適用対象者に通知するとともに、必要に応じて説明を行う。

2　情報資産の取扱い

ア　各校に設備するPC、モバイル端末、通信回線装置、電磁的記録媒体、情報が印刷された文書等(以下、「PC等」という。)の正しい取扱い方法を明確にし、ハードウェア、ソフトウェアデータ等の情報資産を保護すること。

イ　PC等の取扱いに関して想定される以下のような問題の発生を防ぐこと。

(ア)　PC等の取扱いミスによる物理的な破壊、故障、盗難、紛失等。

(イ)　PC等の操作ミス、取扱いミスによる重要データの消失、破損、漏洩等。

(ウ)　PC等の設定ミスおよび保管ミスによるセキュリティ・レベルの低下。

(エ)　情報資産を取り扱う意識の欠如による情報の消失、破損、漏洩等。

(2)　基本規定

ア　管理者

各校に配置するPC等は、すべての管理責任を管理責任者が負う。

イ　管理の義務

(ア)　教職員等は、自らが使用するPC等を管理する責任を負う。

(イ)　学習活動等で情報機器等を児童生徒に使用させる場合は、児童生徒が適切な使用をしているか管理・監督する義務を負う。

(ウ)　学校備品以外のPC等の学校への持込使用は、原則として禁止する。ただし、業務上必要な場合は、管理責任者の許可を得て使用することができるが、校内ネットワークに接続してはならない。

ウ　日常の校務における取扱い

(ア)　日常の校務で使用するPC等の取扱いは、管理委員会の指示に従う。

(イ)　PC等は、常に所定のかつ安全な場所に設置して使用し、落下、塵、水分、熱等による破損や故障から保護する。

(ウ)　PC等を帰宅時および長時間使用しない場合は、電源を切り、不特定多数が閲覧できないよう適した場所に保管する。ただし、正当な理由があって電源を切ることができないまたは適切な場所に保管できない場合には、モニターの電源のみを切る等の措置を講じる。

(エ)　校務に無関係なアプリ、ソフトウェア等を使用し、情報を検索・閲覧しない。

(オ)　管理委員会は、定期的なウイルスチェックを行う。

(カ)　やむを得ず個人のカメラおよびスマートフォン等で撮影した写真データは共有フォルダへ移動し、カメラおよびスマートフォン上のデータは削除する。

(キ)　情報資産を扱っているという意識を常に持ち、適切に扱う。重要情報を児童生徒・保護者・第三者が閲覧可能な場所に保存をしたり、記録されたメディアや、情報を印刷した文書等を児童生徒・保護者・第三者の目に付く場所に放置しない。

(ク)　PC等を帰宅時や長時間使用しない場合は、職員室およびPC室等の防犯対策が取られている場所(施錠可能な場所)に保管する。

(ケ)　職員使用のUSBメモリ・HDは、職員室外へ持ち出さない。児童生徒に使用させるUSBメモリは、管理委員会が管理し、貸し出し時には、「貸出簿」に記入する。

(コ)　在宅勤務や校外研修等、PC等やUSBメモリを校外へ持ち出す必要がある場合は、管理責任者の許可を得て、持ち出し記録簿に記入すること。なお、持ち出しの場合は、退勤時や出勤時に私用のために他の場所へ立ち寄ることを禁じる。持ち出した場合の盗難、破損、紛失の際は原則として自己責任とする。

(サ)　情報資産を廃棄する際には、記録媒体は物理的に破壊する。印刷物などの二次的に生産されたものは原則として裁断処理又は、溶解処分する。

エ　操作および設定変更

教職員は、下川町教育委員会の許可なく、学校に配置するPC等に、以下の操作および設定変更をしてはならない。また、壁紙の変更やデスクトップへのショートカットを作成した場合等は、人事異動による転出時に初期設定に戻す。

(ア)　ソフトウエアのインストール、バージョンアップ、削除

(イ)　ハードウエアの追加、変更、取り外し

(ウ)　ネットワークに関する設定変更

(エ)　手動によるシステムファイルの操作

(オ)　スタートアッププログラム、メモリ常駐プログラムの設定変更

(カ)　手動によるレジストリ操作

(キ)　ユーザアカウントの作成、変更、追加

3　インターネット接続による利用について

(1)　クラウドサービス

ア　GIGAスクール構想に伴い、各校にクラウドサービスを導入する。導入にあたり、クラウドサービスのアカウントは下記のとおり設定する。

(ア)　教職員等(各学校管理者権限付与)

イ　クラウドサービス(以下、クラウド)を使用する場合、個人情報が記載されている資料等はクラウド上に情報を置いてはいけない。ただし、業務上アップロードが必要な場合、アップロードする場所は生徒や他者がアクセスできないよう、鍵または制限を設定し、管理責任者に届出する。

ウ　個人利用のPCもしくはスマートフォンでM365へアクセスすることは可能とするが、個人利用のPCとスマートフォンにデータは残さない事。また、個人利用のPC、スマートフォンを紛失した際はパスワードの変更やアカウントの停止作業を行うため速やかに管理責任者へ報告する事。

(2)　電子メール

ア　各校の電子メール使用にあたり、アドレスは下記の職に設定する。ただし、クラウドサービス導入に伴い、生徒にもアカウントを発行しており、アカウントがメールアドレスになっているが、基本的に生徒に電子メールは使用させないとともに、アカウントがメールアドレスになることを伝えてはいけない。

(ウ)　教職員等一般

イ　教職員等は、業務上必要のない送信先に電子メールを送信してはならない。

ウ　教職員等は、重要な電子メールを誤送信した場合、管理責任者に報告しなければならない。

ア　管理責任者は、教育委員会又は学校が管理するアカウントで、ソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。①教育委員会又は学校のアカウントによる情報発信が、実際のものであることを明らかにするために、アカウントの運用組織を明示する等の方法でなりすまし対策を行うこと。②パスワードや認証のためのコード等の認証情報等を適切に管理するなどの方法で、不正アクセス対策を行うこと。③SNSへの写真掲載については管理責任者または代理者へ許可を取ってから掲載すること。

イ　情報資産区分Ａ以上の情報は、ソーシャルメディアサービスで発信してはならない。

ウ　利用するソーシャルメディアサービスごとの責任者を定めなければならない。

(4)　インターネットを使用した検索エンジンの使用において

ア　インターネットの検索エンジンを使用し、検索を行う際、業務上必要な検索のみ行う。

4　セキュリティーインシデントの報告等

(1)　教職員等は、情報セキュリティインシデントを認知した場合、速やかに管理責任者に報告しなければならい。

(2)　教職員等は、不正プログラム対策として以下の事項を遵守しなければならない。

ア　外部からデータを取り入れる場合には、必ず不正プログラム対策ソフトウエアによるチェックを行う。

イ　差出人が不明または不自然に添付されたファイルを受信した場合は、速やかに削除し、ファイルを開いてはならない。

(3)　教育委員会及び管理責任者が指名した者は、不正アクセス、不正プログラム等の調査のために、教職員等が業務で利用しているPC、モバイル端末及び電磁記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

この要綱の施行に関し必要な事項は、教育長が定める。

この要綱は、公布の日から施行し、令和3年4月1日から適用する。

附　則(令和6年4月1日教委訓令第1号)

この訓令は、令和6年4月1日から施行する。