2009年 4月16日 制定 2009年12月31日 改訂 2011年 4月28日 改訂
教員向けパソコン管理・個人情報漏洩対策ガイドライン ver1.2
追手門学院大学 総合情報教育センター 学生の成績などの個人情報が漏洩した場合には、大学として①その事実の公表、②謝罪、 ③所管官庁への報告、④被害者への損害賠償、⑤対策の策定と報告、が求められます。そ れによる大学ブランドの毀損、経済的損失を考えた場合、個人情報漏洩は大学の管理運営 上の重要リスクと位置づけられます。 教育機関における情報漏洩の多くは、「内部犯行」よりも「本人が意図せず漏洩する」ケ ースの多いのが実情です。その例をあげれば、①車上荒しなどにより個人情報の入ったパ ソコンを盗まれた、②USB メモリーを紛失した、③自宅のパソコンが子供と共用だったため、 入っていたファイル交換ソフトを経由して情報が漏洩した、④インターネットカフェなど からアクセスした際にパスワードが漏洩し、それが元で悪意のある第三者が個人情報にア クセスをした、などです。 多くの企業では、私用パソコンの業務への使用禁止、データの企業外部への持ち出し禁 止などの措置が取られていますが、大学においては教員の教育・研究のためのパソコン利 用の自由度確保と高度化推進の観点から、同様な規制をすることは適切とはいえません。 このため、教育・研究環境の自由度と高度化を維持しながら、個人情報漏洩のリスクから 教員を「守る」ために遵守していただきたい事項を、可能な限り具体的にガイドラインと して提示します。 (個人情報保護全体については、法令などに基づき、対外的には「学校法人追手門学院プ ライバシー・ポリシー(個人情報保護方針)」、内部的には「追手門学院大学総合情報教育 センターネットワーク利用に関する申し合わせ」、「追手門学院大学におけるコンピュータ 処理に関する個人情報保護規程」等が整備されていますが、本ガイドラインは、これらに 則って教員向けの具体的な事項をまとめたものです。技術的手段の水準や運用の実態・課 題は常に変化しうるものなのでガイドラインとしてまとめ、随時見直しを図ることとしま す。)1.ID/パスワード管理
1-1 安全なパスワードを使用すること 1-2 パスワードは他人と共用しない、また他人に知られないように努めること 1-3 パスワードは定期的に、または遺漏の可能性があるときに必ず変更すること ID はすぐ推測されるので、パスワードが最後の砦です。いくらシステムが堅牢でもパ スワードが盗まれやすい安易なものであれば意味がありませんから、工夫を凝らす必要が あります。同じパスワードを使い続けるのも危険です。また、パスワード入力時の指の動 きで読み取られることがあります。 本学のパスワード・ルールは「4文字以上8文字以下で、アルファベット、数字を1文字以上含む」ですが、&や%など記号の大半は使えません。記号を混ぜると強力なパス ワードを作るのに役立つので、逆に使えるものを列挙すると、 ! , # , ( , ) , = , / , ? ,[ , ] , { , } です。要するに大小アルファベットと数字・記号を含むまったく他人にはランダムな 文字列で、自分の頭の中でしか意味を成さないものが「強いパスワード」と言えます。文 字数は8文字とすべきです。また、「Password Checker」や「Password Meter」などといっ たパスワードの強度をオンラインで測ってくれるサイトもありますから、これらを使って みるとよいでしょう。強力なパスワードの作り方や強力なパスワードを自動生成してくれ るサイトもあります。
2.研究室での情報管理
2-1 情報機器、記憶媒体の管理に細心の注意を払うこと 2-2 管理者権限が与えられていることに留意すること 2-3 研究室有線 LAN に個人持込 PC を接続する場合には、本学ネットワークシステムに 対応するウイルス対策ソフトをインストールし、必ず総合情報教育センターに届け 出る必要がある 2-4 研究室有線 LAN にハブ等のネットワーク機器を導入する場合は、必ず総合情報教育 センターに届ける必要がある(ルータは推奨しない) 個人情報を保管しているパソコンや記憶媒体が盗まれるなど、個人情報が流出する危 険があります。部屋やキャビネットの鍵の管理を徹底し、セキュリティを強化してくださ い。 パソコンでの作業中に一時的に部屋を空けるときは、ログオフまたはロックをしてくだ さい。教卓パソコンも授業終了時には必ずシャットダウンさせてください。 安全のため一定時間操作しないとロックする仕組みを導入していますが、この時間をあ まり短くすると通常の操作に差し支えるため、20 分に設定しています。この間の悪意のあ る第三者の操作を排除できませんので端末を離れる際は必ずログオフしてください。 研究室の設置パソコンは教育研究に幅広く使えるよう管理者権限で利用できるように なっています。したがって自由にソフトウェアのインストールやスキャナ等の接続ができ ます。ただし、研究費等で購入したソフトウェアの不正利用が発生した場合、管理責任が 問われることになります。不正コピーなどのソフトウェア・ライセンスの不正利用が発生 しないよう管理を実施してください。 Winny 等フリーのファイル交換ソフトで情報が漏洩する可能性があります。インストール しないでください。個人持込みパソコンやハブで学内ネットワークに接続したい場合は、 総合情報教育センターへの届け出が必要です。 今後、学内無線 LAN 環境が整備拡張されるに伴いノートパソコンの利用が大幅に増え ると予想されます。ノートパソコンはデスクトップ型のものより数段に盗難にあうリスク が高いことに留意が必要です。ノートパソコンの管理には細心の注意を払い、絶対に個人 情報を含むファイルを保存しないでください。3.メールとブラウザの使用
3-1 メールや WEB 閲覧を介したウイルスに細心の注意を払うこと3-2 メールアドレスを知らせるときは、不特定多数に流出しないようにする 3-3 誤ってスパムメール・不適切サイトとして検知された場合は、総合情報教育センタ ーへ連絡する 3-4 機密情報のメール送信は避け、もし送る場合は暗号化を施してください メール・WEB 閲覧はあい変わらず主要なウイルス感染の原因です。本学のシステムには最 新のウイルスチェック機能が導入されており、新種のウイルスに対してもパターン・ファ イルが更新される仕組みを導入していますが、どうしても時間差等によるチェック漏れが 出る場合があります。不審なメール・添付ファイルは絶対に開かないでください。 送信するときは、必ず受信者が発信者と用件を特定できるような件名を付けるように してください。メールアドレスを、不特定多数がアクセスするホームページやコミュニテ ィサイトにテキスト形式で記載すると、機械的に読み込まれてスパムメールのターゲット になる可能性があります。メールアドレスを画像として埋め込めばこのリスクは軽減され ます。 スパムメールはその「迷惑度」レベルに応じて自動的に隔離されていますが、このレ ベルが最も低いものについては「SPAM:50」などの標識が付いています。スパムメールでな い場合は、総合情報教育センターにお知らせください。安全なアドレスとして「ホワイト・ リスト」に登録します。 WEB サイトについても教育研究上、有益でないと判断される「有害サイト」はシステム的 に表示されないようになっています。これについても誤認識の余地があり、そのような場 合も総合情報教育センターにご連絡ください。 メールは常に宛先間違いなどによる誤配送や、情報漏洩の危険があります。個人情報 などを含む重要情報を送ることは避けて下さい。やむを得ない場合は添付ファイルをパス ワード付き ZIP(圧縮ソフト Lhaz )にし、そのパスワードを別途安全な方法で相手に渡す やり方が一般的に推奨されています。
4.重要ファイルのパスワードによる保護
4-1 個人情報や機密情報を含むファイルは、必ずパスワードによる保護をすること 学生の成績などの個人情報や、機密情報を含むファイル(ワード、エクセル、PDF など) は、必ずパスワードによる「文書の保護」をしてください。万一コピーされたり、外部に 漏洩した場合にも、パスワードによる保護がなされておれば情報漏洩のリスクは軽減され ます。ファイルをコピーした際にもパスワードによる保護は継承されますので、元のファ イルやテンプレートを保護しておくことにより、保護化の手間は軽減することができます。 学内のパソコンの中に個人情報を含むファイルを保存する場合おいても、このパスワ ードによる保護を施しておいてください。5.USBメモリー等の外部記憶媒体の扱い
5-1 セキュリティ機能のある USB メモリー等を利用すること 5-2 盗難・紛失のリスクが大きいことを認識したうえで細心の注意を払い利用すること 5-3 自宅等学外パソコンからのウイルス感染に注意すること 5-4 廃棄する場合には適切な処置を施すことUSB メモリーはデータを保存する記憶媒体としてとても便利ですが、置き忘れ、紛失によ る情報漏洩のリスクが多い記憶媒体で、USB メモリーの使用を許可しない企業も増えてきて います。本学においても USB メモリーの置き忘れなどが発生しており、安全対策の観点か ら、本学のパソコン環境に対応したパスワード・指紋認証などセキュリティ機能のある USB メモリー等の利用をお願いします。 更に、個人情報や重要な情報には、前述(4-1)のパスワードによる保護をかけてくださ い。また、USB メモリーを介したウイルスも増加していますので注意を払ってください。 モバイルパソコンも便利ですが、紛失や盗難の可能性があります。自動車等の中への 置き忘れなどがあるため、基本的には機密データを私用パソコンにダウンロードしないよ うにしてください。あるいは、万一に備えて必ず暗号をかけて情報漏洩の危険性を低減す るようにしてください。パソコンの BIOS のパスワードは、ディスクを抜き取れば読める機 種もあり、万全ではありません。暗号化ディスクなどの方策を採ることを推奨します。 「ドキュメント・リモートアクセス(総合情報教育センターHP 参照)」を利用すると、 USB メモリーやモバイルパソコンを持ち歩く必要がなくなりこうしたリスクが回避できま す。このシステムはワンタイムパスワードによる銀行口座へのアクセス並みのセキュリテ ィを実現しており、定期的なバックアップも取られていますので、最も安全な記憶媒体と お考えください。 パソコンを廃棄する場合も専用のデータ消去ツールを用いる、物理的に破壊する等、ハ ードディスクに記録された全データを読めないようにしてから廃棄してください。
6.自宅パソコンの利用
6-1 必ずウイルスチェック・ソフトを導入すること 6-2 ファイル共有ソフトをインストールしないこと 6-3 重要なファイルを保存したパソコンを家族と共用しない 6-4 第三者、インターネットカフェなどにおける個人情報を扱うパソコン利用は絶対に 避ける 自宅パソコンの利用では、自動更新でウイルスチェックと Windows アップデートを行うと 共に Winny や Share 等の(P2P)ファイル共有ソフトがインストールされていることがない か、十分ご注意ください。知らないうちにパソコン内の情報が漏洩したり、違法コピーに 加担したりすることになります。ドライブ内に「UP」フォルダや「UpFolder.txt」という ファイルが知らないうちに作られていたり、WEB 表示が最近遅くなった、WEB を閲覧してい ないのにモデムやルータがアクセス状態を表示する、といった場合は知らないうちにウイ ルスやファイル共有ソフトがインストールされた可能性があります。こんな時は、オンラ インの Winny 検索ソフト等でチェックしましょう。 なお、プロバイダ業界は「帯域制御の運用基準に関するガイドライン」(平成 20 年 5 月 制定/平成 22 年 6 月改定)を設けて P2P ファイル交換ソフトなど. 特定のアプリケーショ ンに対して. 制御を行い不法なファイル交換を抑止するようになっていますが、ファイル 交換ソフトによる情報漏えいは「取り返しのつかない」ものであるという認識が必要です。 公衆無線 LAN 環境やインターネットカフェなどにおけるパソコン利用においては、パス ワードなどの詐取が起こりやすいので、十分な注意が必要です。その場合、ブラウザがパ スワードを記憶しているケースが多いので使用後必ず履歴情報を削除してクローズするか、InPrivate ブラウズ(IE の場合)を利用してください。
