医療法人大和正信会 情報セキュリティポリシー
当法人は情報セキュリティ対策の取り組みを公開することで、「SECURITY ACTION 二つ星」を宣言します!
1. 目的
医療法人大和正信会(以下当法人という)が取り扱う情報には、患者様・関係者・職員の個人に関わる様々な情報など、外部への漏えい等により事業(医療・保健・福祉を通じて地域社会への貢献)に重大な影響を及ぼす情報が多く含まれています。
近年の急速な高度情報化により情報の電子化が進み、それに伴い不正アクセスや電子化情報の盗難・データの改ざんなどセキュリティ上の脅威が高まり、個人情報の適切な保護が強く求められています。
地域社会と密接に繋がる当法人としては、情報資産の適切な安全対策を推進することにより情報の機密性・完全性・可用性を確保し、高い信頼基盤を確立・維持する事は安定的な法人運営を図るためには必要不可欠であり、社会的責務であると考えます。
この社会的責務を果たすため、医療法人大和正信会情報セキュリティポリシーは、当法人が実施するセキュリティ対策の基本となる考え方であり、保有する個人情報をはじめとする全ての情報資産を様々な脅威から保護することを目的とした情報セキュリティ基本方針及び情報セキュリティ対策基準を定め、総合的、体系的に情報セキュリティ対策を実施します。
2. 適応の範囲
医療法人大和正信会情報セキュリティポリシーは、当法人が取り扱う情報資産に接するすべての者(以下適用対応者とする)に適用する。当法人が保有・取り扱うすべての情報資産とする。
3. 用語の定義
(1) 情報セキュリティポリシー
当法人が所有する情報資産の情報セキュリティ対策について、総合的、体質的かつ具体的にとりまとめたもので、どのような脅威からどのような手段で守るかについての基本的な考え方ならびに情報セキュリティを確保するために必要な組織・管理方法・運用方法を含め明確に定めたもの。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
(2) 情報ネットワーク
コンピュータを相互接続するための通信網、その構成機器(ハードウェア・ソフトウェア)からなり処理を行う仕組み。
(3) 情報システム
電子計算機(ネットワーク、ハードウェア、ソフトウェア)及び電子媒体で構成され、情報を処理するための仕組み。
(3) 情報資産 以下の各号を情報資産とする。
ア.情報ネットワークと情報システムの開発・運用に係る全ての情報及び情報ネットワークと情報システムで取り扱う全ての医療・保健・福祉情報等
イ.医療・保健・福祉情報が記載された紙等の有体物及び電磁的記録媒体
ウ.個人情報・特定個人情報が記載された紙等の有体物及び電磁的記録媒体
エ.情報ネットワーク及び情報システム
(4) 脅威
次の各号を情報資産への脅威とする。
ア.適用対象者以外の第三者の不正なアクセス又は操作による、医療情報等やプログラムの持ち出し、改ざん及び消去並びに機器や記録媒体の盗難など。
イ.適用対象者、情報システムの開発に携わった業者及び施設管理に係る委託業者等の不正なアクセス又は操作による、医療情報等やプログ持ち出し、改ざん及び消去並びに機器や記録媒体の盗難、紛失など。
ウ.地震、落雷、火災、水害等の災害及び事故並びにシステムの故障等
エ.システム等廃棄時の漏えい
(5) 機密性
認可されていない個人、団体又はプロセスに対して情報を使用不可又は非公開にする特性のことをいう。
(6) 完全性
情報の正確さ及び完全さを保護する特性のことをいう。
(7) 可用性
認可された者が要求したときに、アクセス及び使用が可能である特性のことをいう。
4. 文書体系
情報セキュリティポリシーの文書体系を次のとおり定め、明文化する。
(1) 情報セキュリティ基本方針
(2) 情報セキュリティ対策基準
(3) 情報セキュリティ実施手順等
5. 施行期日
医療法人大和正信会情報セキュリティポリシーは、2016年4月1日から施行する。
医療法人大和正信会 理事長 藤岡 康彦