早稲田大学における研究・教育活動には，情報基盤の充実に加え，情報資産のセキュリティ確保が不可欠である．本学では，情報セキュリティ対策推進会議の決定した「情報セキュリティポリシーに関するガイドライン」を踏まえ，2002年9月7日に情報セキュリティポリシーを定め，これを公開した．

　情報資産は早稲田大学（以下，本学）にとって重要な資産である．本学における研究・教育活動は，情報の収集，格納，伝達，報告といった手段に依存している．情報資産が守られなければ，本学の研究・教育活動の停滞，本学に対する信頼の喪失などといった被害を被る可能性がある．したがって，教職員，学生，およびすべての関係者が不断の努力をもって，情報資産を保全しなければならない．本学の提供するサービスを利用する者は，情報セキュリティポリシー（以下，ポリシー）を遵守する責任があり，意図の有無を問わず，学内外の情報資産に対する権限のないアクセスや改竄，複写，破壊，漏洩等をしてはならない．早稲田大学メディアネットワークセンター（以下，MNC）教職員は，利用者が情報ポリシー，ガイドラインおよび各種内規等を理解し，実施できるように教育，指導をする責任がある．

　ポリシーは，下記のとおりの設置目的をもって，本学の管理するコンピュータ，ネットワーク等を利用し情報を扱うにあたって，遵守しなけばならない最低限の事項をまとめたものである．詳細は，関連法規，条約，本学の各種規約，ならびに内規等に従うものとする．

　用語の定義は，情報セキュリティ対策推進会議が定めた「情報セキュリティポリシーに関するガイドライン」にあるものと同様とする．
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html
情報資産の定義は，情報ならびに情報を管理する仕組みとする．

　本学におけるポリシーの対象範囲は，本学の管理する機器，ネットワーク，一時的にネットワークに接続された機器，および情報資産である．ポリシーの対象者は本学の情報資産を利用する教職員，臨時職員，非常勤教職員，委託業者，大学院生，大学生，研究生，聴講生，来学者等の大学構成員すべてとする．

　ポリシーの実施手順は，本学の規約，内規等によって別途定めるものとする．関連する規約，内規等は付録１．に示すとおりである．

　MNC情報セキュリティ責任者は，MNC所長とする．MNC所長は，情報セキュリティに関する総括的な意思決定を行い，学内外に対する責任を負うものとする．ポリシーの解釈に関しては，MNC所長がすべての権利を保有し，MNC所長による解釈をもってその最終決定とする．ポリシーの策定ならびに重要事項の決定は，MNC管理委員会が行うものとする．システム管理責任者ならびにシステム管理者は，システム管理の実施，緊急時の対応等にあたるものとする．情報セキュリティに関する啓発および教育については，MNC教職員が担当し，自主管理ドメイン等のシステム管理者に対する教育を行うとともに，一般の利用者に対する幅広い初心者教育を行う．

　外部または内部からの不正アクセスが検出された場合，本学のネットワーク管理者は、緊急措置手順に従って関連する通信の遮断または該当する情報機器の切り離しを実施する．不正アクセスが継続する場合には，所定の手続きに基づいて，当該情報機器またはそれを接続するネットワークに対し，事態を警告し，対策をとるよう勧告し，さらには，定常的な利用を停止するなどの抑止措置をとることができる．

　情報の内容に応じて，アクセス可能な利用者を定め，不正なアクセスを阻止するべく必要なアクセス制限を行わなければならない．利用者は，アクセス権限のない情報にアクセスしたり，許可されていない情報を利用したりしてはならない．

　学内外を問わず，あらゆる研究・教育機関，企業，組織，団体，個人等の情報資産を侵害してはならない．また，情報セキュリティに関連する諸法規，条約ならびに本学が定める規約等を遵守しなければならない．

　本学の提供する情報に関しては，それが果たす役割と影響を十分認識し，常にその情報の正確性と健全性に配慮しなければならない．また，提供することによって利用者が被害を受けるいかなる情報も扱ってはならない．情報提供の際には，関連する諸法規，条約ならびに本学が定める規約等を遵守しなければならない．

　本学の管理する機器に保存された情報は，本学のシステム管理者が管理しなければならない．本学の管理するネットワークに個人および自主管理ドメインの機器を接続した場合，当該機器内の情報は，その機器および自主管理ドメインのシステム管理者と利用者が管理しなければならない．

　個人情報，事務，研究・教育等の非公開情報を不当に利用してはならない．情報は適切に管理されなければならず，権限のない情報に対してアクセスを行ったり利用したりしてはならない．情報の盗難・漏洩等を防止するため，非公開情報を扱うネットワークは，暗号化や盗聴防止策を講じることが望ましい．また，情報が記録された媒体は，適切に管理されなければならない．

　特定の利用者に特定の情報を公開する場合，その情報の登録・閲覧は，許可された者が許可された操作だけを行えるように，認証，アクセス制御等を実施しなければならない．非公開情報を扱う場合と同じく，ネットワークは，暗号化や盗聴防止策を講じることが望ましい．さらに，異常な登録，閲覧および操作が行われていないか，定期的に調査・確認しなければならない．

　あらゆる公開情報を不当に利用してはならない．情報は改竄，破壊されないように適切に管理されなければならない．また，非公開情報を公開する場合には，個人情報の漏洩，プライバシーや著作権の侵害に十分注意し，公開できる情報だけを抽出し，公開してよい形に加工しなければならない．情報が記録された媒体は，適切に管理されなければならない．

　非公開・限定公開・公開を問わず，情報機器および記憶媒体を破棄する場合は，その処分方法に注意しなければならない．

　MNCの情報資産を守るためには，常に最新の情報を取得し，適切な物理的・技術的・人的セキュリティが実施されているか定期的に評価・調査・監査を実施しなければならない．改善が必要と認められた場合は，速やかに情報セキュリティの更新を行わなければならない．

　情報セキュリティの調査とともに，ポリシーの実効性を定期的に評価し，改善が必要と認められた場合には，変更内容および実施時期の決定を行い，セキュリティレベルの高い，かつ遵守可能なポリシーに更新しなければならない．