考古学研究会
<考古学研究会事務局>
〒700-0027
岡山県岡山市北区清心町16-37長井ビル201
TEL・FAX 086-255-7840

考古学研究会情報セキュリティ基本方針について



「考古学研究会情報セキュリティ基本方針」の策定について

本会は、考古学や文化財及び文化遺産に関する研究、教育、普及及び運動など各種の会員の活動を促進し、その問題や課題の社会化と高度学術化のため、研究大会や例会の実施及び会誌や出版物の刊行を行ってきた。今後も、会員のそれぞれの学究活動とともにあるために、高度情報化社会における情報資産を事故・災害・犯罪などの脅威から守り、会員と社会の信頼に応えるべく、本会の情報セキュリティ基本方針を定める。

1.考古学研究会における管理体制の整備
 本会では、情報セキュリティの維持及び改善のために必要な管理体制を整備し、必要な情報セキュリティ対策を常任委員会の正式な方針として定める。

2.関係法令、契約上の要求事項の遵守
 本会の常任委員・事務局員は、会活動で利用する情報資産に関連する関連法令等及び会員のセキュリティ要求事項を遵守する。

3.関連諸委員・事務局員の取り組み
 本会の常任委員・事務局員は、情報セキュリティの維持及び改善のために必要とされる知識・技術を習得し、情報セキュリティへの取り組みを確実なものとする。

4.違反ないし事故への対応
 本会は、情報セキュリティに関わる関連法令等及び会員の情報セキュリティ事故への対応のための体制を整備し、違反及び事故の影響の低減に努める。

2021年2月13日
代表委員 清家章・吉田広



考古学研究会情報セキュリティ基本方針

Ⅰ 情報セキュリティ管理体制

1.情報セキュリティのための組織

 情報セキュリティ対策を推進するための組織として、情報セキュリティ管理委員会(以下、「管理委員会」という)を常任委員会に常置する。管理委員会は以下の構成とする。

  • 情報セキュリティ管理委員会 責任者:代表委員
  • ・情報セキュリティ部門 担当者:ICT委員会委員長(以下、「ICT委員長」という)・法務委員会委員長(以下、「法務委員長」という)
  • ・インシデント対応部門 担当者:総務委員会委員長(以下、「総務委員長」という)・法務委員長

2.管理委員会の取り組み

  • (1)管理委員会は、情報セキュリティ対策状況の把握、同対策に関する指針の策定・見直し、同対策の実施及び情報の共有を図る。
  • (2)管理委員会責任者(代表委員)は、情報セキュリティ対策を着実に進めるために、自ら本会内を統括し、同対策が計画的に実施されるよう組織・体制を整備し、その活動の推進を図る。
  • (3)管理委員会責任者は、会員等の情報資産に対する責任者で、インシデントが発生した際の情報収集、対策の指示、緊急時の対応、事故後の指示などを行う。

3.情報セキュリティ部門の取り組み

(1)情報セキュリティの点検

     情報セキュリティ部門担当者(ICT委員長)は、情報セキュリティ基本方針(以下、「基本方針」という)の実施状況について12月に点検を行い、その結果を管理委員会責任者に報告する。情報セキュリティ部門では、責任者への報告とその開示に基づき、以下の点を考慮し、必要に応じて改善計画を立案する。
  •  ア 基本方針が有効に実施されていない場合、その原因の特定と改善
  •  イ 基本方針に定められたルールが、新たな脅威に対する対策として有効でない場合は、同方針の改訂
  •  ウ 基本方針に定められたルールが、関連法令や取引先の情報セキュリティに対する要求を満たしていない時は、同方針の改訂

(2)情報セキュリティに関する情報共有

 管理委員会責任者と部門担当者(ICT委員長)は、新たな脅威及び脆弱性に関する警戒情報及び個人情報の保護に関する情報を専門機関等から適時に入手し、常任委員会で共有する。
 <専門機関>
 ・独立行政法人情報処理推進機構
 ・JVN(Japan Vulnerability Notes)
 ・個人情報保護委員会

(3)IT機器運用管理について
 ア 管理体制

 IT基盤の運用にあたり情報セキュリティ対策を考慮し製品又はサービスを選択する。IT基盤の情報セキュリティ対策及び関連仕様は、管理委員会責任者及び情報セキュリティ部門担当者(ICT委員長)が承認する。

 イ IT基盤情報のセキュリティ対策

 IT基盤の運用の際には以下の技術的情報セキュリティ対策を考慮し、各要件やソフトウェアなどは、情報セキュリティ部門で選定し、同部門担当者(ICT委員長)が承認する。
 ① サーバー機器の情報セキュリティ要件
 ② サーバー機器に導入するソフトウェア
 ③ ネットワーク機器の情報セキュリティ要件

 ウ IT基盤の運用

     IT基盤の運用を行う際には以下を実施する。
  •  ① 機器の管理画面にログインするためのパスワードは初期状態のまま使わず、推測不可能なパスワードを設定して運用する。
  •  ② 通信ログの保存期間は3年間とし、ログファイルの保存状況について、定期的に確認する。
  •  ③ 管理外のインターネット接続がないか、許可なく接続された機器や無線LAN機器はないか、不審な通信が行われていないかを定期的に確認する。
  •  ④ 脅威や攻撃に関する情報収集を行い、必要に応じて共有する。

(4)委託管理
 ア 委託先評価基準の選定と評価

     情報資産の処理あるいは授受を伴う業務を外部の組織に委託する場合は、委託先の情報セキュリティ管理について、下記の評価基準に基づいて評価する。
  •  ① 経営者による情報セキュリティ基本方針がある。
  •  ② 情報セキュリティ管理責任者を置いている。
  •  ③ 情報セキュリティ対策を定める規定等を整備している。
  •  ④ 情報セキュリティ事故に対する対応手順がある。
  •  ⑤ 全ての従業者に情報セキュリティに関する教育を実施している。
  •  ⑥ 従業者から秘密保持に関わる誓約書等を取得している。
  •  ⑦ 顧客の情報を扱う領域への入退室を管理している。
  •  ⑧ 顧客の情報の保管について施錠管理を実施している。
  •  ⑨ 機器・媒体の盗難防止措置を講じている。
  •  ⑩ 媒体の無断複製、不正持出しを防止する措置を講じている。
  •  ⑪ 媒体の移送、受け渡し時の保護措置を講じている。
  •  ⑫ 媒体の安全な消去、廃棄の手順を整備している。
  •  ⑬ 業務で使用するサーバー・パソコンのウィルス対策を行っている。
  •  ⑭ 業務で使用するサーバー・パソコンは利用者認証機能を設定している。
  •  ⑮ 業務で使用するサーバー・パソコンに利用制限等を設け管理している。
  • 以上の評価基準に準拠し、その調査結果に基づき情報セキュリティ部門担当者(ICT委員長)は委託先を選定し、管理委員会責任者の承認を得て、委託先を決定する。
    また、委託先の評価については委託開始後、定期的に評価する機会を設ける。情報セキュリティ部門担当者(ICT委員長)は、委託先における評価基準の実施に関して不備又は変更が認められた場合は、双方協議のうえ、対処を検討し、書面で合意する。なお、その実施は以下による。
  •  ① 委託先事業所に訪問して現場を観察する。
  •  ② 委託先の管理責任者にインタビューする。
  •  ③ 委託先に書面で確認事項を通知し、実施状況について報告してもらう。

4.インシデント対応部門の取り組み

(1)対応体制

 情報セキュリティインシデント*が発生した際には、インシデント対応部門担当(総務委員長)が情報セキュリティ管理委員会を招集し、下記のインシデントレベルと影響範囲を判断して対応する。
  L3.個人情報漏えい・会員への直接的影響
  L2.会事業や運営に間接的な影響が予想
  L1.システム運用の不具合・トラブルなど
  *インシデントの具体例 情報漏えい・流出、データ改ざん・消失・破壊、ウィルス感染など

(2)対応手順
 上記情報セキュリティインシデントレベルに応じて、下記の対応手順を講じる。

    【共通事項】
  •  ① 発見者は即座にインシデント対応担当者(総務・法務委員長)に報告する。インシデント対応担当者は管理委員会に報告し対応を協議する。
  •  ② 管理委員会は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。
  •  ③ 管理委員会責任者は、各部門からの報告に基づき、対策を指示するとともに、会員、被害者、関係機関へ必要な報告等を行う。
  •  ④ インシデント対応後、各部門担当者は、管理委員会責任者に結果を報告する。
    【L3のインシデント】
  •  ① インシデント対応担当者(総務委員長)は、影響範囲・被害の大きさに応じて、会員、被害者及び関係機関への報告を検討する。
  •  ② インシデント対応担当者(法務委員長)は、サイバー攻撃等の不正アクセスによる被害の場合は、都道府県警察本部のサイバー犯罪相談窓口に管理委員会責任者を通じて届け出る。
  •  ③ インシデント対応担当者(法務委員長)は個人情報の漏えいの場合は、管理委員会責任者を通じて監督官庁に届け出る。
    【L2のインシデント】
  •  ① 情報セキュリティ部門担当者(ICT委員長)は原因特定と応急処置を指示、あわせて、法務委員会を立ち上げ、間接的影響の範囲を試算し対応を検討、その結果を管理委員会責任者に報告する。
  •  ② インシデント対応担当者(総務委員長)は、管理委員会責任者の指示により会員にインシデントを報告する。
  •  ③ 機器の修理・交換、電子データの復旧、書類の修復等は、情報セキュリティ部門で実行する。
    【L1のインシデント】
  •  ① 情報セキュリティ部門担当者(ICT委員長)は原因を特定、応急処置をとる。
  •  ② 機器の修理・交換、電子データの復旧、書類の修復等は、情報セキュリティ部門で実行する。

Ⅱ 情報資産の管理・保護・利用

1.情報資産の管理・保護

(1)情報資産の特定とその重要度
 本研究会の運営に関して必要で価値がある情報及び会員の個人情報(以下、「情報資産」という)を特定し、「情報資産管理台帳」に記載する。情報資産の機密性における重要度は、以下の基準に従って評価する。

    【重要度】
  •  ア 高程度機密:法律で安全管理措置が義務付けられている情報
  •          守秘義務の対象として指定されている情報
  •          漏えいすると会員個人や会運営に大きな影響がある情報
  •  イ 中程度機密:漏えいすると会運営と会事業に大きな影響がある情報
  •  ウ 低程度機密:漏えいしても会運営と会事業に影響はないが、倫理上機密性を保持すべき情報
  •  エ 公開:学術成果や活動成果、報告など、その他公開により益する情報

(2)情報資産の分類と表示

     情報資産の重要度は以下の方法で表示する。
  •  ア 電子データ 保存先のサーバーのフォルダに重要度を記載
  •  イ 書類など 保存先キャビネット、ファイル、バインダに重要度を明示
  •  *以上が難しい場合も、「情報資産管理台帳」に機密性評価値を明記

(3)情報資産の管理

 情報資産の管理は管理委員会責任者が統括し、各項目について当該情報資産を保有する小委員会長が責任を担う。

(4)技術的安全管理措置

     情報資産の適正な取り扱いのために、以下の技術的安全管理措置を講じる。
  •  ア アクセス制御:事務取扱担当者及び当該事務で取り扱う個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
  •  イ アクセス者の識別と認証:個人情報等を取り扱う情報システムは、管理委員会責任者が正当なアクセス権を有する者であることを識別した結果、認証するものとする。
  •  ウ 外部の不正アクセス等の防止:情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、安全管理措置を講じる。
  •  エ 情報漏えい等の防止:個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するため、安全管理措置を講じる。

(5)統合CMSへのアクセス制御と認証
 ア アクセス制御の方針

     各種の情報資産を扱う情報システム又はサービスに対するアクセス制御は以下の方針に基づいて運用する。
  •  ① 「情報資産管理台帳」の利用者範囲に基づき、利用者の業務・職務に応じた必要最低限のアクセス権を付与する。
  •  ② 特定の情報資産へのアクセス権が、同一人物に集中することで発生し得る不正行為等を考慮し、複数名に分散してアクセス権を付与する。

 イ 利用者の認証・アカウントの登録・アカウント管理及びパスワードの設定

     情報資産を扱う統合CMSは、以下の方針に基づいて利用者の認証を行う。
  •  ① 利用者の認証に用いるアカウントは、利用者1名につき1つを発行する。
  •  ② 複数の利用者が共有するアカウントの発行を禁止する。
  •  利用者の認証に用いるアカウントは、管理委員会責任者の承認に基づき登録する。また、利用者の認証に用いるアカウントが不要になった場合、当該アカウントの削除又は無効化を、当該アカウントが不要になる日の翌々日までに実施する(総会の翌々日)。
     利用者の認証に用いるパスワードは、十分に強度のあるパスワードを用い、他者に知られないようにすることを条件とする。なお、本研究会の代表委員又は常任委員、会員以外の者にアカウントを発行する場合は、管理委員会責任者と情報セキュリティ部門担当者(ICT委員長)の承認と、同部門担当者(法務委員長)のリテラシー教育の承認を得たうえで、秘密保持契約を締結しこれを実施する。

 ウ 機器の識別による認証

 情報資産を扱う情報システムに、ネットワーク接続によりアクセスする際の認証方式として、機器の識別による認証を用いる。

2.情報資産の利用

(1)情報資産の利用者

 情報資産の利用を許可する者の範囲は、本会常任委員会委員ならびに事務局員とする。「情報資産管理台帳」の利用範囲欄に毎年の常任委員会名簿と担当者名簿を併記する。

(2)情報資産の研究会活動以外での利用について

     情報資産を「利用者」以外の利用に供する場合は、以下を実施する。
  •  ア 高~中程度機密各情報資産は、小委員会長からの利用の発議を常任委員会で決する。
  •  イ 中~低程度機密各情報資産は、小委員会長の責任の下、小委員会にて適宜判断する。
  •  ウ 公開情報資産については、関連法令等に準拠し、著作権者との調整を適宜実施する。
  •  エ 電子情報での情報のやりとりでは暗号化を前提とする。サーバーへの接続は固定IPによってのみ接続され、電子データ化された情報資産の管理は情報セキュリティ部門担当者(ICT委員長)が責任を有す。

(3)情報資産関連媒体の処分

     高~低程度機密各情報資産の処分の場合は、以下の措置を実施する。
  •  ア 書類・ファイルなど:細断・焼却など
  •  イ 電子データ:媒体の破壊・焼却など (初期化はしない)

(4)クラウドサービスや電子メールの利用
 クラウドサービスについては、管理委員会責任者と情報セキュリティ部門担当者(ICT委員長)の許可のもとで、統合CMS内の定められたサーバー領域においてこれを実施する。なお、電子メールなどによる情報資産の移動(原稿や紙媒体のPDFなど、低程度機密の議事録など)は原則、本セキュリティポリシーに違反するものであり、漏えいについては、発信者及び受信者ともにその責任をおう。

3.個人情報の管理・利用

(1)本情報セキュリティ基本方針の定める個人情報

     本研究会会員で、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、記号その他の符号により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む。)をいう。
  •  ア 会員登録情報
  •  イ 会員ID及びパスワード
  •  ウ 会員の表示名(SNSなどで表示される個人が特定される記号)
  •  エ 個人情報データベース*
  •  *個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」(平成15年政令第507号。以下「個人情報保護法施行令」という。)で定めるもの。

(2)個人情報利用の特定とその通知

 個人情報を利用できる事務の範囲は、会誌の発送、会費納入の通知、会費納入状況確認など会事業の運営事務に限定するものとし、利用に当たっては、具体的な利用目的を特定した上で、利用するものとする。また、特定した利用目的を超えて利用する必要が生じた場合には、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人に通知を行い、変更後の利用目的の範囲内で利用するものとする。
 本人との間で約款や契約などを締結することで、あらかじめ、本人に対し、その利用目的を明示することで、会事業の運営事務以外への利用も妨げない(例えば、研究分野の開示や、交流に関する会事業とは別の事業への賛助的役割の場合など)。また、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。この場合、管理委員会責任者の責任の下で利用することができる。

(3)個人情報の開示、訂正等、利用停止等

     本人から、当該本人が識別される個人情報等に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される個人情報等に係る保有個人データを保有していないときにその旨を知らせることを含む。以下同じ。)の申出があったときは、身分証明書等により本人であることを確認のうえ、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
  •  ア 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  •  イ 本研究会の事業の適正な実施に著しい支障を及ぼすおそれがある場合
  •  ウ 他の法令に違反することとなる場合
  •  なお、開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
     訂正は、本人から、当該本人が識別される個人情報等に係る保有個人データの内容が事実でないという理由によって当該個人情報等に係る保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該個人情報等に係る保有個人データの内容の訂正等を行うものとする。
     利用停止は、本人から、当該本人が識別される個人情報等に係る保有個人データが「利用目的外の利用」によって取り扱われているという理由又はその「取得」の方法が不正に行われて取得されたものであるという理由によって、当該個人情報等に係る保有個人データの利用の停止又は消去を求められた場合、又は「個人情報の提供」の内容に違反して第三者に提供されているという理由によって、当該個人情報等に係る保有個人データの第三者への提供の停止を求められた場合で、その求めに理由があることが判明したときは、遅滞なく、当該個人情報等に係る保有個人データの利用停止等又は第三者提供の停止を行うものとする。ただし、利用停止等又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

(4)個人情報の正確性の確保とその削除・廃棄

 個人情報利用により特定された利用目的の達成に必要な範囲内において、特定個人情報等を正確かつ最新の内容に保つよう努めるものとする。また、関係事務を処理する必要がなくなった場合で、かつ、所管法令において定められている保存期間を経過した場合には、個人情報をできるだけ速やかに廃棄又は削除するものとする。ただし、その個人情報を復元できない程度にマスキング又は削除した場合には、保管を継続することができるものとする。

(5)個人情報に関する取り扱い責任者及び苦情対応

 取り扱いの責任は、管理委員会の責任者に準じる。また苦情対応もインシデント対応部門において対応する。

(6)取り扱い状況を確認する手段の整備

     取り扱いについては、その運用状況を確認するため、以下の項目をシステムログ又は利用実績として記録する。
  •  ア 特定個人情報ファイルの利用・出力状況の記録
  •  イ 書類・媒体等の持出しの記録
  •  ウ 個人情報ファイルの削除・廃棄記録
  •  エ 削除・廃棄を委託した場合、これを証明する記録等
  •  オ 個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

(7) 情報漏えいに関する事案に対応する体制の整備

 情報漏えい等の事案の発生又は兆候を把握した場合には、各担当者は「情報セキュリティ基本方針」に定める安全管理措置に従って対応を行う。

Ⅲ 基本方針の変更

 本基本方針は、考古学研究会常任委員会の議を経て改訂されるものとする。

Ⅳ 施行期日

 本基本方針は、2021年2月13日から施行する。