栄養、医療事務、調理、製菓・パティシエ、ホテル、ブライダル、旅行分野の専門学校と、料理教室・クッキングスクールを運営する大和学園

セキュリティポリシー

学校法人大和学園セキュリティポリシー

• プライバシーポリシー
• 情報セキュリティポリシー

プライバシーポリシー

１．個人情報保護に関する基本方針

学校法人大和学園（以下、学園）は、個人の人格尊重の理念の下に個人情報の重要性を認識し、学園が保有する個人情報の取扱いに関する基本的事項を定めます。そして、業務の適正かつ円滑な運営を図りつつ、学園と公益を共有する全てのステークホルダーの個人の権利利益及びプライバシーの保護に資することを目的として、個人情報を適切に取扱います。
また、本ポリシーに定めのない事項については、「個人情報の保護に関する法律」および「個人情報の保護に関する法律施行令」の定めによって対応します。

２．定義

「個人情報」

生存する個人に関する情報であって当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含みます）。

「文書およびデータ」

本学園が保有する個人情報の掲載された紙媒体、電子媒体、電子メール、Ｗｅｂページ等

「本人」

個人情報によって識別される特定の個人およびその代理人。

３．適用範囲

1. 適用対象情報
   

   適用する個人情報は以下のとおりとし、別表に利用目的を明示します。

   ①在校生の個人情報
   ②卒業生の個人情報
   ③入学希望者・受講希望者の個人情報
   ④受講生の個人情報
   ⑤教職員（退職者を含む）の個人情報
   ⑥入職希望者の個人情報

2. 適用対象者
   

   役員並びに正規教職員、嘱託職員、パートタイム職員、非常勤教員、派遣教職員など、雇用の形態を問わず、本学園に就労するすべての教職員（以下「教職員」という）に対して適用します。
   個人情報を取扱う業務を外部に委託する場合も、本ポリシーに従って、個人情報の保護と適切な取扱いを図るものとします。

４．個人情報の管理について

1. 取得・作成
   

   個人情報の取得・作成は業務上必要な範囲内で、適正かつ適法な手段によって行います。

2. 利用･提供
   

   個人情報の利用および提供は、利用目的の範囲内で行うものとし、利用目的の範囲を超えて個人情報を利用・提供する場合には、以下の場合を除き、事前に本人の同意を得るものとします。

   • 法令に規定されている場合
   • 人の生命、身体等の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
     
   • 国の機関もしくは地方公共団体またはその委託を受けたものが法令に定める事務をすることに対して協力する必要がある場合であって、本人の同意を得ることで当該業務の遂行に支障を及ぼすおそれがあるとき
3. 安全管理対策
   

   個人情報に関するリスク（不正アクセス、紛失、盗難、改ざん、漏洩等）に対しては、必要かつ適切な安全管理対策を講じます。　　　 学園ホームページでは、登録時に入力された個人情報を送信する際には、ＳＳＬ（Secure Socket Layer）と呼ばれる通信データの暗号化技術を利用して、送信される個人情報の漏洩や改ざんを防止します。

５．外部委託

個人情報を取扱う業務を外部に委託するときは、委託した業務以外での使用の禁止、複製の禁止、秘密保持、作業状況の確認、事故時の責任分担等について委託契約書に定めるものとし、委託を受けたものに対する必要かつ適切な監督を行うものとします。

６．個人情報の開示

1. 利用目的の説明 本人から個人情報について、利用目的等の説明を求められたときは、本人であることを確認したうえで、以下の場合を除き本人に対し、これを説明するものとします。
   • 本人または第三者の生命、身体等の権利、利益を害する恐れがある場合
   • 業務の適正な実施に著しい支障を及ぼす恐れがある場合
   • 法令に違反することになる場合
2. 訂正･削除 本人から個人情報の内容の訂正・削除の請求を受けたときは、本人であることおよび 訂正・削除すべき情報を確認のうえ、その請求に応じるものとします。
3. 利用・提供の停止 本人から個人情報について、利用又は第三者への提供を、正当な理由で拒まれたときは、これに応じるものとします。ただし、法令に規定されている場合を除きます。 また、本人からの個人情報の開示・訂正・利用停止などの要望に応じない場合には、その理由を付して個人情報保護管理者の承認を得るものとし、本人に対してはその旨を通知するものとします。
4. 個人情報の取扱いに関する問合せ先
   

   学校法人 大和学園　法人事務局　個人情報係
   〒604-8006　京都市中京区河原町三条上ル
   Tel：075-241-0891　e-mail：taiwabox@taiwa.ac.jp

＜別表＞　個人情報の利用目的

在校生
①学籍管理 ②学生指導及び就職支援 ③保護者・出身校等に対して行う教育上必要な報告（第三者提供） ④就職支援や学校生活のサポートに関するメールマガジンの配信
卒業生
①同窓会運営（同窓会報の発送等） ②個別の就職支援 ③保護者・出身校・就職先事業所等に対して行う教育上必要な報告（第三者提供） ④定期刊行物（クラブ・ドランジュ） の発送
入学希望者
①入学選考試験の運営 ②大和学園各教育事業に関する案内の発送 ③教育上必要な報告※を保護者､在籍校等へ行う場合（第三者提供） ※入学選考結果 ④メールマガジンの配信など
受講生・受講希望者
①学籍管理 ②テキスト、大和学園各教育事業に関する案内等の発送 ③メールマガジンの配信 ④定期刊行物の発送など
教職員（退職者を含む）
①人事管理など
入職希望者
①入職に関する案内の送付 ②メールマガジンの配信など

情報セキュリティポリシー

社会において情報技術が進展する中、新種のコンピュータウィルスや不正アクセス、不慮の事故や悪意のある者による個人情報の漏洩など、情報を取扱う上で様々な事件・事故が続発し、情報セキュリティに対する意識が高まりを見せています。
そのような中、学園においても学生や受講生、学生の就職先事業所など、学園と公益を共有するステークホルダーズに関わる情報の重要性を十分に認識し、そ の保護に努める施策として2002年度に｢情報セキュリティポリシー｣を施行しました。

構成

情報セキュリティポリシーは下記の4階層により構成します。

• 情報セキュリティ基本方針
• 各種スタンダード（非公開）
  • コンピュータ機器取扱いスタンダード
  • パスワード取扱いスタンダード
  • 電子メール取扱いスタンダード
  • 業務支援システム取扱いスタンダード
  • 外部アクセススタンダード
  • グループウェア取扱いスタンダード
• 情報セキュリティポリシーQ&A（非公開）
• 個人情報取扱い要領(非公開)

情報セキュリティ基本方針

1．目的

情報セキュリティ基本方針は、学園の情報資産の取扱いに関する学校法人大和学園の基本方針を示し、学園内における情報の適切な伝達・共有、学園外に対する情報の適切な公開・開示、ならびに学園の機密情報や入学希望者、学生、受講生、また取引先情報の取扱いについてセキュリティを維持・向上させるとともに、社会的な信頼度の向上を図ることを目的とします。

2．体制

学園の情報セキュリティを維持、管理、運営する主管部門を法人事務局総務・経営情報チーム（以下、総務・経営情報チーム）とし、各校のネットワークソリューション委員会メンバー（以下、ＮＳ委員）が補完します。また、管理責任者として、「情報セキュリティ管理者」を置き、事務局長がその任に当たります。

3．適用範囲

適用対象情報

下記の各種スタンダードに則り、ハードウェア、ソフトウェア、コンピュータネットワーク、各種データファイル、各種ドキュメントを含むすべての情報資産を対象とします。なお、個人情報の取扱いについては別途細則（『個人情報取扱い要領』）に定めることとします。

• コンピュータ機器取扱いスタンダード
  学園が所有する教職員用パソコンおよび周辺機器を対象とします。ただし、サーバ、ホスト・コンピュータについては、対象外とします。
• パスワード取扱いスタンダード
  学園のコンピュータ機器を利用する際のすべてのパスワードを対象とします。
• 電子メール取扱いスタンダード
  学園のオリジナルドメイン（@taiwa.ac.jpおよび@st.taiwa.ac.jp）を使用するすべての電子メールを対象とします。
• 業務支援システムスタンダード
  学生募集、教務事務、就職指導、会計（学校会計、予算管理、校納金）、資材、生涯学習、レジ スター、製菓通信（e-Learning）、人事の業務支援システムを対象とします。
• 外部アクセススタンダード
  学園外部から学園の情報ネットワークにアクセスする際のすべてのコンピュータを対象とします。
• グループウェア取扱いスタンダード
  学園教職員が使用するサイボウズおよび学生用サイボウズを対象とします。

適用対象者

情報セキュリティポリシーは役員ならびに正規、嘱託、パートタイム、非常勤、派遣など雇用の形態を問わず学園のすべての教職員に適用します。

4．適用対象者の義務

情報共有の義務

教職員は、ナレッジマネジメントやアカウンタビリティを推進する学園の指針を妨げることのないよう、極力情報の共有に努めなければなりません。

守秘義務

教職員は、情報の有する価値または誤った取扱いから生じるリスクが極めて大き いと判断される情報については、業務上必要な場合をのぞき、関係者以外に開示・提供・漏洩してはなりません。守秘の対象となる情報は、不適切な開示・提供または漏洩により以下のおそれがあるものとします。

• 学園に甚大な損害・損失を与えるおそれのある情報
• 学園の信用を著しく失墜させるおそれのある情報
• 学園の競争力を著しく低下させるおそれのある情報
• 著しく機会損失につながるおそれのある情報
• 人権を著しく侵害するおそれのある情報

遵守の義務

教職員は、情報資産の取扱いに際して、情報セキュリティポリシー（情報セキュリティ基本方針ならびに各種スタンダード、Ｑ＆Ａ）および各種規程を遵守しなければなりません。また、情報セキュリティポリシーおよび各種規程の追加・変更などの通達があった場合には、直ちに内容を確認することとします。

問題発生時の対応措置

教職員は、情報セキュリティに関連する問題が発生した場合、すみやかにＮＳ委員または総務･経営情報チームに連絡し、指示を受けることとします。連絡を受けたＮＳ委員及び総務･経営情報チームは迅速かつ適切に対応するとともに、必要に応じて各部署の責任者等に報告します。なお、万が一、法令に抵触するような重大な問題が生じた場合は、理事長の命を受けて情報セキュリティ管理者が全ての対応にあたるものとします。

5．罰則規定

教職員が情報セキュリティポリシー遵守の義務を怠った結果、学園の情報セキュリティに重大な影響を与えた場合、もしくは与えかねないような悪質な行為などが認められた場合には、下記の「就業規則」に基づく懲戒の対象となります。

• 就業規則　第8章　表彰及び懲戒　第39条　（懲戒）
  
• 就業規則　第8章　表彰及び懲戒　第40条　（懲戒の種類及び程度）

懲戒を検討する際は、以下の点を考慮します。

• 問題の申告が本人よりなされたかどうか
  
• 発生した問題の性質（故意によるものか、不可抗力によるものか）
• 発生した問題の深刻度
• 問題の再発性

6．教育・啓発

情報セキュリティポリシーの内容を実践できるように、総務・経営情報チームは教職員に対 し定期的に教育
を行い、啓発を図ります。教職員においては、積極的な姿勢で理解に努め、行動に反映することとします。

7．管理・運用

情報セキュリティポリシーの改編

情報セキュリティポリシー（情報セキュリティ基本方針ならびに各種スタンダード、Q&A） は、随時見直しを図るものとします。
情報セキュリティポリシーの追加・変更を行う場合は、ＮＳ委員会で協議の上理事長の承認 を得た後、直ちに全教職員に内容を通達するとともに、総務・経営情報チームならびに各校NS委員により、各校・各部署の責任者に対し必要に応じて説明を行います。

管理責任

役職者は、それぞれ統括もしくは担当する組織下において情報セキュリティポリシーを確実 に遵守させなければなりません。
また、役職者は情報資産の取扱いについて他の教職員の模範となるとともに、日常の業務遂行において情報資産の適切な管理と取扱いに関し組織下の教職員を指導することとします。

アカウンタビリティ

総務・経営情報チームならびに各校NS委員および役職者は、教職員からの情報セキュリティポリシーに関する質問や意見に対し、速やかに対応しなければなりません。

附則

本ポリシーに関して、業務遂行上何らかの問題が発生した、あるいは問題の発生が予想される場合には、直ちに経営情報チームまで連絡することとします。

用語の定義

ネットワークソリューション委員会

略称ＮＳ委員会。座長を副理事長、委員会責任者を事務局長とし、情報化推進のリーダーとして理事長から任命されたＮＳ委員で構成される組織。

アカウンタビリティ

透明性を重視した説明責任。

各種スタンダード

情報セキュリティ基本方針に基づいて、情報資産の具体的な取扱い方を示したもの。

情報資産

学園の事業運営に関係して、学生・受講生等の個人、取引先等の企業・団体・個人等から入手した情報を筆頭に、紙媒体、電子媒体、電子メール、Ｗｅｂページ等その名称・形態の如何を問わず業務上作成されるすべての文書によって伝達される情報（文書情報）、会議・会合等における討議、学園内外の者との会話等口頭によって伝達される情報（口頭情報）、ならびに写真、フィルム、ビデオテープ等視覚によって伝達される情報（視覚情報）で学園の事業運営に関係するすべての情報をいう。
例）　「入学希望者情報」、「学生・受講生情報」、「卒業生情報」、「教職員情報」、「事業所情報」、「財務情報」、「教育資産」など

情報資産の公開・開示

公開：マスメディアへの発表や学園Ｗｅｂサイトへの掲載等、情報を学園外の不特定多数の者がアクセス可能な状態におくことをいう。
開示：学園内または学園外の特定の相手に対して、情報を伝達することをいう。

情報セキュリティ

情報資産が正当な権利を持たない者に漏れないようにすることをはじめ、情報資産が正確・完全に維持されること、情報資産が定められた方法でいつでも利用できるようにすることまでを含める。

ナレッジマネジメント

必要な情報を一元管理し、いつでもどこでも活用できるようにするとともに、個々の知識や経験を学園内で共有・結合し、創造的な仕事につなげ、新たな価値を生み出すこと。

個人情報

学生・受講生・卒業生・入学希望者・教職員をはじめとした学園のステークホルダーズが有する氏名、住所、電話番号、メールアドレス、学籍情報、就職情報、顔写真など直接・間接を問わず個人を特定できる情報のこと。

情報セキュリティ基本方針の制定

• 2002年5月13日制定
• 2004年7月1日改定、施行
• 2005年5月2日改定、施行