情報の格付けと管理

平成３０年１２月１日

1

背景と目的

2

メールの誤送信や添付間違い

パソコンのウイルス感染

ノートパソコンやUSBメモリの紛失

印刷・転用といった作成者の意図しない再利用 等

大学にとって個人情報等の機密情報の漏えいは、社会の信用を失うことにつながる大きな脅威です。しかし、実際には以下のような様々な場面で情報漏えいが発生する危険性があります。

これらの対策として、

「守るべき情報は何か」を把握し、守るべき情報を「どう管理し、どう守るか」について、大学が定める基準を教職員一人ひとりが遵守する必要があります。

このことについて、本学では情報セキュリティ対策規程（以下「対策規程」という。）、情報セキュリティ対策基準及び実施手順に定めています。

（参考）対策規程第１９条抜粋部局情報セキュリティ責任者は、対策基準に基づき、当該部局が管理する情報資産に対してリスク分析を行い、その結果に基づき、適切な情報の格付け及び管理を実施しなければならない。

情報の格付けと管理における作業内容（概要）

② ファイル名の先頭に「機２」または「C2」と記載する。(例）機2_成績データ.xlsx

③ PC本体には保存せず、大学や部局等が整備した場所に保存する。例）事務情報ネットワーク上のネットワークフォルダ、ICHO文書管理、ICHOのOneDrive

大阪大学CLE、部局が管理する文書管理システム

④ メール送信または電子記憶媒体に保存して運搬する場合は、暗号化またはパスワードによる保護を行う。また、学外へ送信・運搬する場合には届出を行う。（ただし、各部局で届出不要と判断したものは除く。）

3

【作業内容】

「機２」は機密性２の略 「C2」はConfidentiality 2の略

① 機密性の格付けを行う。

【作業対象】 今後、入手・作成・編集する法人文書ファイル。なお、「研究情報」は対象外とする。

P4,P.5参照

機密性１の場合

特段の作業はなし。P.6参照

P.7参照

P.8,P9参照

機密性２の場合

機密性について

区分 定義 説明 具体例

機密性３

「行政文書の管理に関するガイドラインに定める秘密文書」に相当する機密性を要する情報を含む情報

秘密文書とは、漏えいすることにより国の安全、利益に損害を与えるおそれのある情報を含む文書。（国家の防衛、外交、テロリズム防止に関する事項等）

現在、本学には存在しない

機密性２

「独立行政法人の保有する情報の公開に関する法律（平成13年法律第140号）（以下「情報公開法」という。）」における不開示情報に該当すると判断される蓋然性の高い情報を含む情報であって、「機密性3情報」以外の情報

漏えいすることにより、大学の業務に支障がある情報

個人情報学生の成績情報実施前の入試問題奨学寄附金の審査に関するもの患者情報 等

機密性１

情報公開法における不開示情報に該当すると判断される蓋然性の高い情報を含まない情報

既に公表済みの情報や公表しても業務に支障のない情報

広報資料シラバス、ガイダンス資料博士論文ホームページに公開している情報 等

機密性の格付けの区分は、下表のとおりである。（機密性２または機密性３を要機密情報という）

研究情報は、機密性の格付けは行わない。ただし、安全保障輸出管理上の「リスク高」と判断されている研究情報は「機密性２相当」として取り扱うこととし、それ以外の研究情報は各教員の判断で適切に取り扱うこととする。

4

情報公開法における不開示情報については、以下の「国立大学法人大阪大学情報公開に関する開示・不開示の審査基準」に記載されている不開示情報が該当します。http://www.osaka-u.ac.jp/jp/about/kitei/reiki_honbun/u035RG00000466.html

5

① 機密性の格付けを行う

「機密性」欄が２以上のものが要機密情報に該当する。

詳細は、別表「法人文書の類型に基づく格付け基準」にある法人文書ファイルの類型ごとに、機密性の基準を記載しています。

機密性の格付けを行う際には、別表を基本として行ってください。

ファイルごとの個別判断が必要となるポイントは以下のとおりであり、これ以外は分類に沿って格付けを行ってください。

・機密性1の分類でも、個人情報を含む場合は機密性2になる。

・機密性2の分類でも、送付状など定型的なものは機密性1になる。

なお、この別表は法人文書管理規定の別表第１の法人文書の類型ごとに機密性の基準を付け加えただけであり、当該規程の別表第１を変更するものではない。

取扱う情報が、以下のような漏えいすることにより、大学の業務に支障がある情報であるかどうか確認し、機密性１、機密性２どちらに該当するか確認する。

例）

• 個人情報（氏名、生年月日、自宅の住所、電話番号、メールアドレスなど公にすることで個人の利益に害を及ぼす恐れのあ

る情報）

• 学生の成績情報

• 実施前の入試問題

• 卒業生の進路一覧や進路指導の文書

• 共同研究や受託研究の契約に関する文書

• 毒劇物、遺伝子組換え実験、核燃料物質、放射線同位元素、動物実験、ヒトゲノム・遺伝子解析研究などの審査や帳簿

に関するもの

新規に作成・入手

機2_成績データ.xlsx

既存のファイルを編集・送信・運搬

既存のファイルを閲覧するのみ

H28年度□□資料

要機密情報であっても閲覧するだけであれば

記載は不要

印刷物のヘッダーに記載する

[機密性2]

複数ページある場合は１ページごとにするまた、PDF等で編集が不可なものや様式が決まっており、印字が困難である等の理由により明示ができない場合は、明示を省略してもよい。

[Confidentiality 2]

英文

和文

②ファイル名や書面への記載方法

ファイル名の先頭に和文なら「機2」、英文なら「C2」を記載する。（括弧の有無や形について指定は無し）

また、当該ファイルの印刷物にはヘッダーに和文なら「機密性２」、英文なら「Confidentiality 2」と記載する。

なお、「部局内限り」、「関係者限り」といった取扱制限が必要なファイルであれば、そのことをファイルの内容や印刷物に記載すること。

6

要機密情報はファイル名に

「機２」「C2」と記載する

取扱制限が必要なファイルや印刷物にはそのことを記載する

(取扱制限の例）部局内限り、関係者限り、複製禁止、複製要許可配付禁止、配付要許可印刷禁止、印刷要許可転送禁止、送信禁止、転記禁止、転記要許可○月○日まで○○禁止 等

③要機密情報の保存場所

主な利用者 保存場所

全教職員 ICHO文書管理（全学、部局、専攻、研究室単位等の情報共有用）

事務職員 事務情報ネットワーク上のネットワークフォルダ

教員・研究員等ICHOのOneDrive（マニュアルはICHO全学ポータル→マニュアル関連に掲載）、部局管理の文書管理システム、研究室独自のNASサーバ（アクセス制限されているものに限る）、大阪大学CLE

7

PC本体（PC内蔵記録媒体）には保存しない（編集、運搬等で必要な間のみ保存し、編集、運搬等終了後は削除する）。

外部記憶媒体（CD-R、USBメモリー等）への保存は原則禁止とするが、入室管理及び施錠管理がされている保管庫等に保管し、台帳等で所在を確認できるようにすることを条件に利用してもよい。

要機密情報が含まれるメールが、PC本体に保存される場合削除すること。

要機密情報は、以下の場所に保存すること。

[機2]前期成績資料 ファイルサーバ保存禁止

④-1 暗号化またはパスワードによる保護

要機密情報をメール送信又は電子記憶媒体に保存して運搬する場合は、

以下のとおり暗号化（※）またはパスワードによる保護を行うこと。

【機2】〇〇データ.xlsx

パスワードによる保護

暗号化

PASSWORD

どちらか一方の方法で保護を行うこと

暗号化の手段の１つとして、AIPによる暗号化があります。詳細は別紙別紙「AIPクイックマニュアル」を参照。

パスワードは、大文字英字、小文字英字、数字、記号をそれぞれ１文字以上含む文字列で設定すること

8

※ メールをAIPで暗号化すると、Outlook利用者以外では開けないので教員宛のメールでは使用しないこと。また、AIPで暗号化したoffice製品以外のファイルを、事務情報ネットワーク利用者以外が開けるには際には、AIPソフトのインストールが必要であることなどに留意すること。（共有相手が開ける環境か確認するなど。）

④-2要機密情報を学外に送信または持ち出す際

9

※届出の様式は、マイハンダイの以下の場所に掲載しています。マイハンダイ⇒情報セキュリティ⇒申請書関係⇒「03_機密性２情報移送・提供届出書」https://my.osaka-u.ac.jp/admin/information/security/management/management

学外へ送信・運搬する場合は、その都度届出を行う。

ただし、メール送信や業務出張など一定以上の持ち出しがある場合は、各部局の判断で届出不要と判断してもよい。

なお、届出不要とした場合は、該当する情報や移送・提供先、移送・提供方法、申請者などを部局で管理すること。

メール送信アップロード

持ち運び郵送 届出を部局に提出する

（参考）情報の格付けについて（概要説明）１

紛失盗難

アクセス制御されていない

情報の管理ができない

アクセス制御

管理者が管理できる

バックアップ

PC本体、外部記録媒体等に比べてセキュアな環境

ファイルサーバ

パソコン本体

モバイル端末外部電子記録媒体

入室管理施錠管理

10

情報セキュリティの基本は、情報の重要度に応じて適切な対策や管理を行うことである。

情報の重要度を明確にするには、情報の格付けを「機密性」・「完全性」・「可用性」の３つの観点から実施する必要がある。

機密性・・・情報を正当な権利を持った人だけが使用できる状態にしておくこと。（情報漏えい対策）完全性・・・情報が正当な権利を持たない人により改ざん、消去等されない状態にしておくこと。（改ざん防止対策）可用性・・・情報を必要なときに中断することなく使用できるようにしておくこと。（データ破壊対策）

（参考）情報の格付けについて（概要説明）２

本学の情報の格付けは、次のように行うこととする。・情報（個々のファイルや書類）⇒機密性、完全性、可用性のうち、機密性の格付けだけ行う。

・情報システム（下図の「情報システム、機器等」から端末、外部電磁的記録媒体、デジタルカメラ、ICレコーダーを除く）⇒機密性、完全性、可用性について格付けを行う。

11

※情報セキュリティ実施手順「情報の取扱に関する実施手順」にある参考資料から抜粋情報セキュリティ実施手順の掲載場所マイハンダイ⇒情報セキュリティ⇒情報セキュリティ実施手順https://my.osaka-u.ac.jp/admin/information/security/policy/tejun