安全且つ健全な情報資産管理を行う目的で、椥辻こども園におけるセキュリティポリシーを以下の通りに定める。
基本的な考え方、姿勢
- 個人情報保護は、基本的人権の尊重とプライバシー保護の観点により行う。
- 個人情報は、適切な保育及び援助に必要な業務を遂行する為のみに利用する。
- 職員が一つとなって、組織的に対策を講じる。
個人情報の取得
個人情報の取得に際して、利用目的を明示した上で本人に通知又は公表し、同意を得る。利用目的を変更した場合は、変更された利用目的について本人に通知又は公表し、同意を得る。
個人情報の利用と提供
- 個人情報を利用する場合には、個人情報の取得、保管及び利用に関する本園の責務を明確にすると共に、当該本人に関する個人情報の開示並びに訂正及び削除の請求権を保障する。
- 個人情報は、その利用目的の範囲内で適切に利用し、外部に提供する場合は、本人の同意を得る事とする。
個人情報の開示、修正、利用停止
本人から個人情報について開示・修正及び利用停止の請求があった場合は、内容を確認し、情報主体の方の意思を尊重し、速やかに合理的な方法・範囲で対応する。
組織と職員の役割・責任の明確化
- 個人情報保護責任者を園長と定める。
- 情報資産管理責任者を主任保育士と定める。
- 組織的に、個人情報保護の目標を共有すると共に、統一ルールを制定し、保護意識を維持するための計画を策定する。
- 全職員は、個人情報保護を遂行する責任と義務を負い、個人情報保護に関する基本方針に従って行動する。また、研修・啓発運動により、各々の自覚を促す。
- 関係するセキュリティ情報を最新に保ち、専門家から情報セキュリティ助言を得るなどのために、情報セキュリティに関する会議を設置する。
職員のセキュリティ
- 全職員は、認可されていないアクセス、認可されていない開示、改ざん、破壊または妨害から資産を保護する。
- 雇用職員は、情報セキュリティに関する責任を記載した雇用契約書に同意・署名する。
- セキュリティ違反を犯した職員には懲戒処分などの手続をとる。
- すべての職員は、雇用終了時に、前もって支給されたソフトウェア、書類、設備のすべてを返却する。
- すべての職員の情報及び情報処理施設に対するアクセス権は、雇用終了時に見直し、必要であれば削除する。
ハードウェアや環境のセキュリティ
- コンピュータや周辺機器は、認可されていないアクセスを回避し、盗難・火炎などのリスクを最小限に抑えるように設置し、管理する。
- 取扱に慎重を要する情報が入っている装置は、処分する前に、各職員が物理的に破壊するか、又は確実に上書きをしてデータを消去する。
- コンピュータやデータ、ソフトウェアの指定場所からの持ち出しは、園長の認可を必要とする。
ネットワークやソフトウェアの運用管理
- セキュリティ確保のための操作手順を、正式な文書として作成し、遵守する。変更の場合は管理者である園長が認可する。
- コンピュータやサーバ、周辺機器、ネットワーク等の設備及びシステムの変更については、担当者が記録、テスト、アセスメントなどを行い、確実に管理する。
- 認可されていない状態あるいは気づかれない状態で、一人の利用者が情報資産にアクセス、使用できないように、担当者の職務及び責任範囲を分割する。情報資産にアクセス、使用できるのは正規職員のみとする。
- 第三者が提供するサービス、報告及び記録は、情報セキュリティの条件の順守を確実にするため、常に監視し、レビューする。
- すべての重要な情報及びソフトウェアの回復を確実にするために、バックアップ設備を備える。
- 情報管理者は、新しいシステムを受け入れるための要求事項及び基準を明確にし、合意し、文書化し、試験する。
- ネットワークの管理者は、管理策を定め、ネットワークにおける情報のセキュリティ確保や、無認可のアクセスからのネットワークサービス保護を確実に行う。
- 取り外し可能な媒体について、不要になった媒体が再利用可能なときは、それに格納している内容を回復不能とする。また不要になった媒体の措置のすべてについて認可を要求し、記録を保管する。
- システム文書を保護するために、セキュリティを保って保管する。また、システム文書へのアクセスは、最小限に抑え、当該業務の管理者が認可する。PCは各職員にIDとパスワードを設定し、関する資料は鍵のかかる場所で保管する。
- 電子的メッセージ通信のセキュリティのために、認可されていないアクセス、改ざん又はサービス妨害から保護する。
- 情報処理設備の使用状況を監視する手順を確立し、監視活動の結果をレビューする。
アクセス制御
- 各職員がパスワードの選択及び使用を行う際には、「パスワードを秘密にしておく」「定期的に変更する」などの正しいセキュリティ慣行に従う。関係資料が存在する場合は、鍵のかかる場所で保管する。
- 利用者は、実行していた処理が終わった時点で、接続を切る。パーソナルコンピュータ又は端末は、利用していない場合、キーロック等によってセキュリティを保つ。
- 職員は、各個人ごとにユニークな利用者lDを保有し、その活動が誰の責任によるものかを後で追跡できるようにする。また、利用者の同一性を検証するために、適切な認証技術を選択する。
- 各職員が、ノート型コンピュータや携帯電話など、モバイルコンピューティング設備・通信設備を用いる場合は、物理的保護、アクセス制御、暗号技術、バックアップ及びウイルス対策についての方針を定め、適切なセキュリティ対策を採用する。
情報資産及び管理
- こども園内の全ての情報資産を洗い出し、その資産の重要度を記録した情報資産目録を作成する。
- 情報資産は、漏えい・滅失、又はき損等の防止、その他安全保護及び正確性を維持するために、安全且つ健全な方法で管理する。
- 職員や一部委託をする関係者に対しては、必要かつ適正な監督を行っていくと共に、個人情報に関する教育・研修を実施し、個人情報保護に関する意識を徹底する。
- 利用目的達成のため、個人情報を正確かつ最新の内容に保つよう努める。
- 個人情報が含まれる書類は、その内容と利用目的、管理方法を保護者に明示する。
法令の遵守
- 知的財産を保護するために、次の指針を考慮する。
- ソフトウェアは知られた定評のある供給元だけを通して取得する。
- 許諾された最大利用数を越えない。
- 書籍、記事、報告書又はその他の文書を複写しない。
- 個人データ及び個人情報の保護に関する保育園の方針を確立して実施する。