ホーム > 情報セキュリティ基本方針について
情報セキュリティ基本方針について
情報セキュリティ基本方針
1 目的
石川県国民健康保険団体連合会(以下、「本会」という。)は、保険者からの委託を受けて診療報酬及び介護給付費の審査支払業務、保険者事務共同事業、保健事業等の事業を行っており、これらの事業を実施するに当たってはレセプト等の個人情報をはじめとする多くの情報を取り扱っている。
昨今の情報化の進展とともにこれらの情報に対しては、不正アクセスや盗難、滅失等の脅威による被害を受ける可能性が増大しており、適切なセキュリティ対策の実施による保護が求められている。
そこで、本会が取り扱う情報を様々な脅威から保護するとともに、安定的な事業運営を行うことで保険者及び、被保険者及び事業者からの信頼を確立するため、情報セキュリティに関する方針、及び規程類(以下、「情報セキュリティポリシー」という。)を定め、情報セキュリティマネジメントシステム(以下「ISMS」という。)を構築し、これを本会のマネジメントシステムの一環として組み込むことにより、情報セキュリティの確保に取り組むこととする。
2 用語の定義
(1) 情報システム
電子計算機及び記録媒体で構成され、情報を処理するための仕組みをいう。
(2) ネットワーク
情報システムを相互に接続するための通信網、機器及び記録媒体で構成され、処理を行う仕組みをいう。
(3) 情報
本会の情報システム及びネットワークで取り扱われる重要な情報(電磁的に記録されている情報及び出力した媒体を含む。)、及び紙等に記載された重要な情報をいう。
(4) 情報資産
本会が取り扱う情報及び情報システム、ネットワークをいう。
(5) 機密性
許可された者のみが情報にアクセスできることを確実にすることをいう。
(6) 完全性
情報および処理方法が正確であること及び完全であることを保護することをいう。
(7) 可用性
許可された者が必要なときに情報にアクセスできることを確実にすることをいう。
(8) 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(9) 職員等
常勤、非常勤及び臨時等の雇用形態を問わず、本会に勤務する者をいう。
(10) 外部委託業者
契約に基づいて本会の情報資産に接する者をいう。
(11) セキュリティインシデント
本会の情報資産の正常な運営や維持が妨げられる事象をいう。
(12) 脅威
情報資産の価値を失わせる事象をいう。
3 適用範囲
(1) 適用対象者
本会に勤務する職員等、及び外部委託業者とする。
(2) 適用資産
本会が保有する全ての情報資産とする。
4 情報セキュリティ要求事項の遵守
本会は、ISMSを運用することにより、以下の情報セキュリティに関連する要求事項を遵守する。
(1) 個人情報保護法をはじめとする法的又は規制要求事項、各種ガイドラインの要求事項
(2) 会員や関係機関との契約に含まれる要求事項
(3) その他、本会が受け入れることを決定した要求事項
5 情報セキュリティ推進体制
情報セキュリティを推進する為に組織横断的な情報セキュリティ推進体制を確立し、職員等の教育・研修、外部委託業者への指導や、セキュリティ事故に対する復旧・再発防止策の決定及び関係機関との連携等、本会における情報セキュリティ対策を円滑に推進・管理する。
6 情報の区分
本会が保有する情報資産を、重要度に応じて区分し、重要度に応じた情報セキュリティ対策を実施する。
7 情報セキュリティへの脅威
情報セキュリティ対策を講ずるうえで、本会が取り扱う情報に関連する脅威(人的・物理的・技術的・組織的)の発生度合いや発生した場合の影響を考慮するものとする。
8 情報セキュリティ対策
上記7項で示した脅威から情報資産を保護するために、以下に示す情報セキュリティ対策を実施する。
(1) 人的セキュリティ対策
職員等及び外部委託業者の情報セキュリティに関する義務を定めるとともに、情報セキュリティポリシーの内容を周知徹底するため、教育及び啓発等の必要な対策を実施する。
(2) 物理的セキュリティ対策
情報システムを設置する部屋への不正な立入り、情報資産の損傷、盗難等を防止するため、物理的な対策を実施する。
(3) 技術的セキュリティ対策
情報資産を不正アクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理、ネットワークの監視及びコンピュータウイルス対策等の技術的な対策を実施する。
(4) 組織的セキュリティ対策
職員等及び外部委託業者への情報セキュリティポリシー遵守状況の確認等、運用面の対策を実施する。また,緊急事態が発生した場合に迅速な対応を可能とするための危機管理対策を実施する。
9 インシデント対応
本会は、情報セキュリティ事件・事故が発生した場合、又はその予兆があった場合、速やかな対応及び手続きを行います。また、原因を究明し、再発防止に努める。
10 情報セキュリティ対策基準の策定
情報セキュリティ基本方針を実行するに当たって、遵守すべき行為および判断等の基準を統一的に定めた「情報セキュリティ対策基準」を策定する。
11 監査
情報セキュリティポリシーが遵守されていることを検証するため、定期的に情報セキュリティ監査を実施する。
12 継続的改善
ISMSの適切性、妥当性及び有効性を継続的に改善するために情報資産を取り巻く環境の変化を考慮し、情報セキュリティ監査の結果等によりセキュリティ対策の実施状況を毎年評価するとともに、必要に応じ情報セキュリティポリシーの見直しを実施する。
13 違反への対応
本会が保有する情報資産に接する全ての職員等及び外部委託業者は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。また、その職を退いた後も同様とする。
情報セキュリティポリシーに定める遵守事項に違反した職員等は、関連規程等の定めにより、懲戒処分の対象となる場合がある。
外部委託業者が契約事項に違反した場合、契約に基づき罰則の対象となる場合がある。
令和2年4月1日
石川県国民健康保険団体連合会
常務理事 大 畠 秀 信