I 基本方針
- 1.情報セキュリティーの基本方針
- 情報資産は、一般社団法人日本温泉気候物理医学会(以下、本学会)にとって重要な資産である。すべての本学会関係者が不断の努力をもって、情報資産を正しく利用し保全しなければならない。本学会の情報資産を利用する者は、情報セキュリティポリシー(以下、ポリシー)を遵守する責任があり、意図の有無を問わず、本学会内外の情報資産に対する権限のないアクセスや改竄、複写、破壊、漏洩等をしてはならない。また本学会の情報セキュリティ責任者は、利用者がポリシー、ガイドラインおよび各種内規等を理解し、実施できるように教育、指導をする責任がある。
- 2.趣旨ならびに位置付け
- ポリシーは、下記のとおりの設置目的をもって、本学会の管理するコンピュータ、ネットワーク等を利用し情報資産を扱うにあたって、遵守しなければならない最低限の事項をまとめたものである。詳細は、関連法規、条約、本学会の各種規約、ならびに内規等に従うものとする。
- 本学会の情報セキュリティに対する侵害の阻止
- 学会内外の情報セキュリティを侵害する行為の抑止
- 情報資産の分類と管理
- 情報セキュリティの評価と更新
- 3.定義
- 用語の定義は、情報セキュリティ対策推進会議が定めた「情報セキュリティポリシーに関するガイドライン」にあるものと同様とする。
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html - 情報資産の定義は、情報ならびに情報を管理する仕組みとする。
- 4.対象範囲ならびに対象者
- 本学会におけるポリシーの対象範囲は、本学会の管理する情報資産、および、機器、ネットワーク、一時的にネットワークに接続された機器である.ポリシーの対象者は、本学会の学会構成員すべておよび本学会の情報資産を利用する者すべてとする。
- 5.実施手順
- ポリシーの実施手順は、本学会の規約、内規等によって別途定めるものとする。
II 対策基準
- 1.組織・体制
- 本学会における情報セキュリティの責任者は、広報・情報委員会委員長とする。広報・情報委員会委員長は、情報セキュリティに関する総括的な意思決定を行い、学会内外に対する責任を負うものとする。ポリシーの解釈は、広報・情報委員会の意見を聞いて、広報・情報委員会委員長が行うものとする。ポリシーの策定ならびに重要事項の決定は、広報情報委員会委員長の提案に基づき、理事長が行うものとする。システム管理責任者は、システム管理の実施、緊急時の対応等にあたるものとする。情報セキュリティに関する啓発および教育については、広報・情報委員会が担当する。
- 2.情報セキュリティ侵害の阻止
- 本学会は、本学会の情報資産への情報セキュリティー侵害を阻止するため、必要な措置をとることができる。
- 2.1 不正アクセス等への対応
- 本学会の情報資産への不正アクセスが認められた場合、本学会は、所定の手続きに基づいて、当該対象者、当該情報機器またはそれを接続するネットワークに対し、事態を警告し、対策をとるよう勧告し、さらには、定常的な利用を停止するなどの抑止措置をとることができる。
- 2.2 アクセス制限
- 本学会は、情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するべく必要なアクセス制限を行うことができる.利用者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用したりしてはならない。
- 3.本学会内外の情報セキュリティを侵害する行為の抑止
- 本学会の内外を問わず、あらゆる研究・教育機関、企業、組織、団体、個人等の情報資産を侵害してはならない。また、情報セキュリティに関連する諸法規、条約ならびに本学会が定める規約等を遵守しなければならない。
- 4.情報資産の分類と管理
- 本学会の提供する情報に関しては、それが果たす役割と影響を十分認識し、常にその情報の正確性と健全性に配慮しなければならない。また、情報提供の際には、関連する諸法規、条約ならびに本学会が定める規約等を遵守しなければならない。
- 4.1 情報資産の管理者
- 本学会の管理する情報資産は、広報・情報委員会が管理しなければならない。本学会の管理するシステムおよびネットワークは、広報・情報委員会が認めたシステム管理者責任者が管理しなければならない。本学会の管理するシステムおよびネットワークに個人および自主管理ドメインの機器を接続した場合、当該機器内の情報は、その機器および自主管理ドメインのシステム管理者と利用者が管理しなければならない。
- 4.2 非公開情報資産
- 個人情報、事務、研究・教育等の非公開情報を不当に利用してはならない.情報は適切に管理されなければならず、権限のない情報に対してアクセスを行ったり利用したりしてはならない.情報の盗難・漏洩等を防止するため、非公開情報を扱うネットワークは、暗号化や盗聴防止策を講じるよう配慮する。また、情報が記録された媒体は、適切に管理されなければならない。
- 4.3 限定公開情報資産
- 特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可された者が許可された操作だけを行えるように、認証、アクセス制御等を実施しなければならない。非公開情報を扱う場合と同じく、ネットワークは、暗号化や盗聴防止策を講じるよう配慮する。さらに、異常な登録、閲覧および操作が行われていないか、定期的に調査・確認しなければならない。
- 4.4 公開情報資産
- あらゆる公開情報を不当に利用してはならない。情報は改竄、破壊されないように適切に管理されなければならない。また、非公開情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分注意し、公開できる情報だけを抽出し、公開してよい形に加工しなければならない。情報が記録された媒体は、適切に管理されなければならない。
- 4.5 情報機器および記憶媒体の処分
- 非公開・限定公開・公開を問わず、情報機器および記憶媒体を破棄する場合は、その処分方法に注意しなければならない。
- 5.情報セキュリティならびにポリシーの評価と更新
- 5.1 情報セキュリティの評価と更新
- 本学会の情報資産を守るために、常に最新の情報を取得し、適切な物理的・技術的・人的セキュリティが実施されているか定期的に評価・調査・監査を実施しなければならない。改善が必要と認められた場合は、速やかに情報セキュリティの更新を行わなければならない。
- 5.2 ポリシーの評価と更新
- 情報セキュリティの調査とともに、ポリシーの実効性を定期的に評価し、改善が必要と認められた場合には、変更内容および実施時期の決定を行い、高いセキュリティレベルを持ち、かつ遵守可能なポリシーに更新しなければならない。
一般社団法人 日本温泉気候物理医学会
(2008年5月15日 理事会承認)