平成17年6月3日 決 定 岐阜大学における情報事故等発生時の対応方針 1.趣旨 岐阜大学(以下「本学」という。)が保有し管理すべき情報に関して,漏えいや盗難などの事 故が発生した場合,本学としての損失のみならず,社会責任上の観点からも,重大な問題となり 得る。こうした事故の発生を未然に防止するための対策を講じることはもとより,事故発生時に は,迅速かつ適切な対応が不可欠となるため,その対応について,基本的な方針を定める。 2.情報事故の定義と種類 紙媒体への記録や電子的方法による記録など,媒体によらない全ての情報に関する様々なリス ク(紛失,漏えい,不正アクセス,改ざん,破壊,盗難など)が顕在化した場合を情報事故と定 義する。 3.情報事故への対応 情報事故に対しては,次の手順に従い対応する。 (1) 本学の職員(役員を含む。以下同じ。)は,情報事故が発生したと確認された場合又は未 確認であってもその可能性が認められた場合には,速やかに最高情報責任者(以下「CIO」と いう。)及び情報セキュリティ最高責任者(以下「CISO」という。)にその事実内容を報告 する。 (2) CIO は,情報事故に関する報告を受理してから24時間以内に情報事故の内容を学長に報告 するとともに,必要に応じて公表する。なお,CIO がこれを行うことができない場合には,CISO が代行する。 (3) CISO は,情報事故の事実関係を確認するとともに,その原因及び損害状況について調査・ 分析する。また,本学職員は,この調査に協力しなければならない。 (4) CISO は,情報事故の調査・分析結果を学長及びCIO に報告するとともに,対処方針及び改 善方法を対応策として提案する。 (5) CIO は,情報事故の調査結果及び対応策について,学長並びに情報委員会と協議し,最終的 な対応策を決定・公表する。また,必要に応じて,対応策の実施をCISO に指示するとともに, 学長に対して必要な予算要求を行う。 (6) CISO は,CIO から指示された対応策を速やかにかつ効率的に実施する。 4.情報事故の未遂事実発生の場合の対応 情報事故の未遂事実に対しては,次の手順に従い対応する。 (1) 本学の職員は,情報事故につながると予想される事実又は情報事故が未遂となった事実(以 下「情報事故未遂事実」という。)が確認された場合には,速やかにCISO にその事実内容を 報告する。 (2) CISO は,情報事故未遂事実の確認を行い,その結果をCIO に報告する。 (3) CISO は,情報事故未遂事実の原因及び損害状況について調査する。また,本学職員は,こ の調査に協力しなければならない。 (4) CISO は,情報事故未遂事実の調査・分析結果をCIO に報告するとともに,対処方針及び改 善方法を対応策として提案する。 (5) CIO は,情報事故未遂事実の調査結果及び対応策について,学長並びに情報委員会と協議 し,最終的な対応策を決定・公表する。また,必要に応じて,対応策の実施をCISO に指示す るとともに,学長に対して必要な予算要求を行う。 (6) CISO は,CIO から指示された対応策を速やかにかつ効率的に実施する。 5.法的対応 CIO は,情報事故及び情報事故未遂事実に対して法的措置が必要な場合には,適切な法律専門 家への協力を要請できる。