「 3分でわかる情報セキュリティ 」について
杏林学園の全教職員を対象とした、情報セキュリティ強化のための連載です。患者・学生・教職員の情報を守るため、閲覧の程よろしくお願いいたします。また、周りの教職員への周知にご協力いただければ幸いです。全記事と詳細は こちら から読むことができます。お問い合わせは総合情報センター(井の頭6232)まで。

退職者や異動者のアカウントが残っている状況は、想像以上に危険!

教職員の入れ替わりが激しい時期の投稿であることを鑑み、今回の3分セキュリティは昨年同様の注意喚起を行います。更新している内容もありますので、是非ご一読ください。

企業秘密の漏えいで一番多い経路はなんでしょうか?外部からの攻撃?職員のうっかりミス?
いえいえ、実は「退職者による漏えい」で、その件数割合は漏えい件数の約4割にものぼります。( IPA|企業における営業秘密管理に関する実態調査2020調査概要説明資料 )

転職先でデータを利用したい・元職場に対していやがらせをしたい……等の理由で、退職・異動後にまだ消えていないアカウントから、組織の保有する情報を悪用する例が多いそうです。
退職者や異動者が、患者・学生の個人情報にアクセスすることを防ぐため、速やかなアカウント削除・権限変更が重要です。

部署内で退職・異動する職員がいるときは、①~③を実施してください。③は パスワード変更方法まとめ 等を参照してください。

  • 【最終出勤日までに実施】本学で付与された全アカウントについて、アカウント管理部署へ退職・異動を報告する
  • 【最終出勤日までに実施】該当職員が個人で利用するPCから、全てのアカウントをサインアウトする
  • 【その次の日に実施】該当職員を含め、共同で使っているアカウント(部署メール等)のパスワードを変更する

①に関して、総合情報センター管轄のシステムの報告方法をまとめましたのでご活用ください。クリックすると各サービスの説明が確認できます。
記載のないものは、それぞれのサービスの管理部署にお問い合わせください。

特に私設秘書や派遣職員等は、退職や異動がアカウント管理部署まで伝わらない傾向にあります。管理職・アカウント管理担当者が責任をもって、アカウントの削除申請を行ってください。

杏林メール

異動の連絡は不要ですが、退職時は削除の申請が必要です。

専任教職員の場合、人事課への退職手続きの際に「メールアドレス廃止届」を記入いただきます。
専修医の場合、病院庶務課に提出する「臨床専修医終了届」をもって杏林メールの削除を行います。
削除時期の目安は、医師・教員の場合は3か月後、その他の職種は1か月後です。

その他の職員(派遣職員や私設秘書等)や、団体用メールの場合は、廃止届を必ず提出してください。 →詳細はこちら「杏林メールの作成・廃止」

廃止届・臨床専修医終了届の提出がない場合でも、人事情報にて在籍を確認できない場合は、メール連絡のうえ削除を行います。

Zoom

退職・異動に拘らず、Zoomアカウントが不要になった場合(=40分以上のミーティングを主催する予定がない)は総合情報センターにご連絡ください。

在籍中であっても、しばらくZoomへのサインイン履歴の無い場合は、メール連絡のうえ削除することがあります。

総合情報センターから付与しているZoomアカウントは、大学の講義・研究用のため、病院への異動の際は、連絡させていただくことがあります。

【大学業務のみ】大学系アカウント(GAKUEN・ユニパ・START・入退室・非常勤講師用メール等)

事務職(派遣職員を含む)の場合、退職時・異動時は必ず申請してください。教員の場合、アカウント作成や削除の申請は各学部の教務担当が行います。

下記サイト掲載のExcelからGAKUEN・ユニパ・START・入退室・Zoom等の申請がまとめて可能です。
→ 学生証再発行報告フォーム・大学系アカウント(GAKUEN・ユニパ・START・入退室管理等)申請ページ 

【導入部署のみ】電子決裁

専任事務職・その他職種の役職者の場合は、総合情報センターが公示発令を基にユーザー情報を更新しています。

派遣職員の退職・異動があった場合は、各部署に配置しているアカウント管理担当者が速やかに総合情報センターに連絡してください。
公示発令に掲載されない役職者については、関係部署のアカウント管理担当者が総合情報センターに連絡してください。

【導入部署のみ】Dropbox

事務職(派遣職員を含む)の場合、各部署に配置されているマネージャーが、専用フォームを用いて退職・異動を連絡してください。
教育職の場合、退職が決まり次第 こちらのページの「退職届のForms」 からフォームに入力してください。

届出がない場合でも、退職を確認次第アカウントを削除することがあります。

新コーナー|情報セキュリティ関連規程を読んでみよう

杏林の情報に関わる全員が対象のルールとして、情報セキュリティ関連規程があります。今ある規程は こちら からアクセスできます。
毎回3分セキュリティ記事の最後に、情報セキュリティ関連規程のちょっとした紹介文を記載していきます。
今回は CSIRT( 読み方:シーサート ) についてです。詳細については「杏林学園CSIRT設置規程 」をご参照ください。

CSIRTとは

  •  「Computer Security Incident Response Team」の略で、情報セキュリティインシデント対応チームのこと
  •  「情報セキュリティ基本規程第5条」に定められており、設置に関しては「杏林学園CSIRT設置規程」に定められている
  •  CISO( →前回記事参照 )が情報セキュリティインシデント対応及びインシデント対応に必要な技術的支援を実現するため、CSIRTを設置する

CSIRT責任者

インシデントの起因部門によって異なります。何れも統括情報セキュリティ責任者( →前回記事参照 )です。
1) 法人及び大学部門: 総合情報センター長
2)病院部門: 各病院長

CSIRTの組織体制

1) 法人又は大学部門でインシデントが起きた場合
総合情報センター長、事務局長、広報室長、総務部長、経理部長、大学事務部長、医学部事務部長、井の頭事務部長
当該インシデントの職務の長(部室長、センター長)、その他CISOが必要と認めた者

2)病院部門でインシデントが起きた場合
各病院長、各副病院長(情報システム担当)、総合情報センター長、事務局長、広報室長、総務部長、経理部長、各病院事務部長、
当該インシデントの職務の長(診療科長、部室長、センター長)、その他CISOが必要と認めた者