情報統括本部関連規則等

　（目的）
第１条　 この規程は、九州工業大学（以下「本学」という。）における情報システムの利用に関する事項を定め、情報セキュリティの確保と円滑な情報システムの利用に資することを目的とする。

　（定義）
第２条　 この規程において、次の各号に掲げる用語は、それぞれ当該各号の定めるところによる。
　(1) ポリシー　本学が定める九州工業大学情報セキュリティポリシーに関する基本規程をいう。
　(2) その他の用語の定義は、ポリシーで定めるところによる。

　（適用範囲）
第３条　 この規程は本学構成員及び許可を受けて本学情報システムを利用する者に適用する。

　（遵守事項）
第４条　 本学情報システムの利用者は、この規程及び本学情報システムの利用に関する手順、九州工業大学個人情報の保護に関する規則（令和４年九工大規則第６号）及び九州工業大学個人情報の管理に関する規程（令和４年九工大規程第１０号）を遵守しなければならない。

　（アカウントの申請）
第５条　 本学情報システムを利用する者は、本学情報システム利用申請書を各情報システムにおける情報セキュリティ責任者に提出し、情報セキュリティ責任者からアカウントの交付を得なければならない。　ただし、個別の届出が必要ないと、あらかじめ情報セキュリティ責任者が定めている場合は、この限りではない。
２　学外者に本学情報システムを臨時的利用させることを目的としてアカウントの交付を受ける場合、申請者は学外者に本規程を遵守させなければならない。
３　前項の目的によるアカウントの利用が不要になった場合、申請者は速やかに情報セキュリティ責任者に届け出なければならない。

　（IDとパスワードによる認証の場合）
第６条　 利用者は、アカウントの管理に際して次の各号に掲げる事項を遵守しなければならない。
　(1) 利用者は、アカウントを利用して、学外から本学情報システムにアクセスする場合には、定められた手順に従ってアクセスしなければならない。
　(2) 利用者は、自分のアカウントを他者に使用させ、または認証情報を他者に開示してはならない。
　(3) 利用者は、他者の認証情報を聞き出し、又は使用してはならない。
　(4) 利用者は、パスワードを利用者パスワードガイドラインに従って適切に管理しなければならない。
　(5) 利用者は、アカウントによる認証接続中の利用者端末において、他の者が無断で画面を閲覧・操作することができないように配慮しなければならない。
　(6) 学外の不特定多数の人が操作（利用）可能な端末を用いてアカウントによる認証接続を行ってはならない。
　(7) 利用者は、アカウントを他者に使用され、又はその危険が発生した場合には、直ちに情報セキュリティ責任者にその旨を報告しなければならない。
　(8) 利用者は、システムを利用する必要がなくなった場合は、遅滞なく情報セキュリティ責任者に届け出なければならない。ただし、個別の届出が必要ないと、あらかじめ情報セキュリティ責任者が定めている場合は、この限りでない。

　（ICカードを用いた認証の場合）
第６条の２　ICカードの交付を受けた利用者は、ICカードの管理について次の各号を遵守しなければならない。
　(1) ICカードを本人が意図せずに使われることのないように安全措置を講じて管理しなければならない。
　(2) ICカードを他の者に付与若しくは貸与、又は他の者のICカードを使用したりしてはならない。
　(3) ICカードを紛失しないように管理しなければならない。紛失した場合には、直ちに情報セキュリティ責任者にその旨を報告しなければならない。
　(4) ICカードを利用する必要がなくなった場合、又は利用資格がなくなった場合は、これを情報セキュリティ責任者が定める手続きによりに返納しなければならない。
　(5) ICカードに記載された券面及び格納された電子証明書の内容が変更される場合には、遅滞なく情報セキュリティ責任者にその旨を報告しなければならない。
　(6) 情報セキュリティ責任者がICカードに格納した電子証明書を、情報セキュリティ責任者の許可なく削除してはならない。
　(7) ICカード使用時に利用するPINは、利用者パスワードガイドラインに準じて適切に管理しなければならない。

　（情報機器の利用）
第７条　 利用者は、様々な情報の作成、利用及び保存等のための情報機器の利用にあたって、次の各号に従わなければならない。
　(1) 利用者は、本学情報ネットワークに新規かつ固定的に情報機器を接続しようとする場合は、事前に接続を行おうとする部局の情報セキュリティ責任者に接続の許可を得なければならない。ただし、情報コンセントや無線LANからあらかじめ指定された方法により本学情報システムに接続する場合はこの限りではない。
　(2) 利用者は、前号により許可を受けた情報機器の利用を取りやめる場合には、情報セキュリティ責任者に届け出なければならない。
　(3) 情報機器において、認証システム及びログ機能を動作させることが定められている場合には、それらの機能を設定し、動作させなければならない。なお、不正ソフトウェア対策機能が導入されている機器にあっては、その機能が最新の状態でシステムを保護するように努めなければならない。
　(4) 情報機器は既知の脆弱性の影響を被ることのないよう可能な限り最新の状態を保たなければならない。
　(5) 利用者は、情報漏えいを発生させないように対策し、情報漏えいの防止に努めなければならない。
　(6) 利用者は、情報機器の紛失及び盗難を発生させないように注意しなければならない。
　(7) 情報機器の紛失及び盗難が発生した場合は、速やかに情報システムセキュリティ管理者に届け出なければならない。
　(8) 別途定める情報機器取扱ガイドラインに従い、これらの情報機器の適切な保護に注意しなければならない。

　（利用者による情報セキュリティ対策教育の受講義務）
第８条　 利用者は、毎年度１回は、年度講習計画に従って、本学情報システムの利用に関する教育を受講しなければならない。
２　教職員等（利用者）は、着任時、異動時に新しい職場等で、本学情報システムの利用に関する教育を原則として受講しなければならない。
３利用者は、情報セキュリティ対策の訓練に参加しなければならない。

　（情報の取り扱い）
第９条　 利用者は、格付けされた情報を情報格付け取扱手順に従って取り扱わなければならない。

　（制限事項）
第10条　 本学情報システムについて次の各号に定める行為を行う場合には、統括情報セキュリティ責任者の許可を受けなければならない。
　(1) ファイルの自動公衆送信機能を持ったP2Pソフトウェアを教育・研究目的で利用する行為
　(2) 教育・研究目的で不正ソフトウェア類似のコード並びにセキュリティホール実証コードを作成、所持、使用及び配布する行為
　(3) ネットワーク上の通信を監視する行為
　(4) 本学情報機器の利用情報を取得する行為及び本学情報システムのセキュリティ上の脆弱性を検知する行為
　(5) 本学情報システムの機能を著しく変える可能性のあるシステムの変更

　（禁止事項）
第11条　 利用者は、本学情報システムについて、次の各号に定める行為を行ってはならない。
　(1) 当該情報システム及び情報について定められた目的以外の利用
　(2) 指定以外の方法による本学情報システムへのアクセス行為
　(3) あらかじめ指定されたシステム以外の本学情報システムを本学外の者に利用させる行為
　(4) 守秘義務に違反する行為
　(5) 差別、名誉毀損、信用毀損、侮辱、ハラスメントにあたる行為
　(6) 個人情報やプライバシーを侵害する行為
　(7) 前条第２号に該当しない不正ソフトウェアの作成、所持及び配布行為
　(8) 著作権等の財産権を侵害する行為
　(9) 通信の秘密を侵害する行為
　(10) 営業ないし商業を目的とした本学情報システムの利用。ただし、最高情報セキュリティ責任者が認めた場合はこの限りではない。
　(11) 過度な負荷等により本学の円滑な情報システムの運用を妨げる行為
　(12) 不正アクセス行為の禁止等に関する法律（平成11年法律第128号）に定められたアクセス制御を免れる行為、またはこれに類する行為
　(13) その他法令に基づく処罰の対象となる行為
　(14) 上記の行為を助長する行為

　（違反行為への対処）
第12条　 利用者の行為が前条に掲げる事項に違反すると被疑される行為と認められたときは、情報セキュリティ責任者は速やかに調査を行い、事実を確認するものとする。事実の確認にあたっては、可能な限り当該行為を行った者の意見を聴取しなければならない。
２ 情報セキュリティ責任者は、上記の措置を講じたときは、遅滞無く統括情報セキュリティ責任者にその旨を報告しなければならない。
３　調査によって違反行為が判明したときは、情報セキュリティ責任者は統括情報セキュリティ責任者　を通じて次の各号に掲げる措置を講ずるよう依頼することができる。
　(1) 当該行為者に対する当該行為の中止命令
　(2) 管理運営部局に対する当該行為に係る情報発信の遮断命令
　(3) 管理運営部局に対する当該行為者のアカウント停止、または削除命令
　(4) ネットワークセキュリティ基盤運用室への報告
　(5) 本学学則及び就業規則に定める処罰
　(6) その他法令に基づく措置

　（電子メールの利用）
第13条　 利用者は、電子メールの利用にあたっては、別途定める電子メール利用ガイドライン及び学外情報セキュリティ水準低下防止手順に従い、規則の遵守のみならずマナーにも配慮しなければならない。

　（ウェブの利用及び公開）
第14条　 利用者は、ウェブの利用及びウェブによる情報公開に際し、次の各号に従わなければならない。
　(1) 利用者は、ウェブブラウザを利用したウェブサイトの閲覧、情報の送信又はファイルのダウンロード等を行う際には、ウェブブラウザ利用ガイドラインに従わなければならない。
　(2) 利用者は、部局学術情報委員会に許可を得て、情報発信ガイドラインに従いウェブページを作成し、公開することができる。
　(3) 利用者は、ウェブサーバを運用し情報を学外へ公開する場合は、事前に各部局の学術情報委員会に申請し、許可を得なければならない。また、ウェブサーバを公開する利用者は、運用期間中、ウェブサーバの脆弱性対策や情報の改ざんに関する点検を定期的に行わなければならない。
　(4) ウェブページやウェブサーバ運用に関して、本規程及びガイドラインに違反する行為が認められた場合には、ネットワークセキュリティ基盤運用室又は各部局の学術情報委員会は公開の許可の取り消しやウェブコンテンツの削除を行うことができる。

　（学外からの本学情報システムの利用）
第15条　 利用者は、学外からの本学情報システムへのアクセスにおいて、次の各号に従わなければならない。
　(1) 利用者は、学外から本学情報システムへアクセスする場合には、事前に統括情報セキュリティ責任者の許可を得たうえで、指定された方法で利用しなければならない。
　(2) 利用者は、アクセスに用いる情報システムを許可された者以外に利用させてはならない。
　(3) 利用者は、統括情報セキュリティ責任者の許可なく、これらの情報システムに要保護情報を複製保存してはならない。

　（安全管理義務）
第16条　 利用者は、自己の管理する情報機器について、本学資産であるか否か、及び本学情報ネットワークとの接続の状況に関わらず、安全性を維持する一次的な担当者となることに留意し、次の各号に従って利用しなければならない。
　(1) ソフトウェアの状態及び不正ソフトウェア対策機能を最新に保つこと。
　(2) 不正ソフトウェア対策機能により不正プログラムとして検知されるファイル等を開かないこと。
　(3) 不正ソフトウェア対策機能の自動検査機能を有効にしなければならない。
　(4) 不正ソフトウェア対策機能により定期的にすべての電子ファイルに対して、不正プログラムが存在しないことを確認すること。
　(5) 外部からデータやソフトウェアを情報機器に取り込む場合又は外部にデータやソフトウェアを提供する場合には、不正ソフトウェアが存在しないことを確認すること。
　(6) 常に最新のセキュリティ情報に注意し、不正ソフトウェア感染の予防に努めること。

　(インシデント対応)
第17条　 利用者は、本学情報システムの利用に際して、インシデントを発見したときは、インシデント対応手順に従って行動しなければならない。

　（学外の情報セキュリティ水準の低下を招く行為の防止）
第18条　 利用者は、学外の情報セキュリティ水準の低下を招く行為を行ってはならない。

　（雑則）
第19条　 この規程に定めるもののほか、必要な事項は別に定める。

　　　附　則
　この規程は，平成２０年７月２日から施行する。

　　　附　則
　この規程は、平成２２年４月１日から施行する。

　　　附　則
　この規程は、平成２８年３月２９日から施行する。

　　　附　則
　この規程は、令和２年４月１日から施行する。

　　　附　則
　この規程は、令和４年４月１８日から施行し、令和４年４月１日から適用する。