情報システムのセキュリティ方針

情報システムのセキュリティ方針

1　方針
　多野藤岡医療事務市町村組合情報システム（以下「情報システム」という。）が取扱う情報は、「不当に暴露されたり」、「不当に内容が改ざんされたり」、「不当に処理が妨害されたり」しないように管理および保護されなければならない。
情報システムで処理・保管されているデータに関するいかなる情報も、このシステムに関係のない者には公表しないことを原則とする。
2　目的
　本セキュリティ方針書は、上記1の方針に基づき、情報の管理や保護のための技術的な対策及びシステムの利用者や管理者への教育の実施等を定めた「セキュリティガイドライン」を定めることを目的とする。
3　修正
　情報システムのセキュリティ方針の運用にあたっては、以下に掲げる国のガイドライン等の最新情報と齟齬がないように注意する必要があり、ガイドライン等に倣い適宜見直しを行うこととする。
・地方公共団体における情報セキュリティポリシーに関するガイドライン（総務省）
※当組合は地方公共団体にはあたらないが、公的機関として本ガイドラインに準拠する形で情報セキュリティポリシーを作成する。
・医療情報システムの安全管理に関するガイドライン（厚生労働省）
・医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
（経済産業省・総務省）
4　適用範囲
　本セキュリティ方針は、情報システムを構成する全ての部分（コンピュータシステムに関連する装置、システムの運用に携わる人、システムの利用者等をいう。以下同じ。）に適用する。
特に、プライバシー情報（診療情報等を含む。）を扱う全ての部分に対しては、運用時の必須　　要件として本セキュリティ方針を適用する。
5　配布
　本セキュリティ方針書は、情報システムに関係する全ての者に公開する。
6　情報システム委員会
1） 情報セキュリティ方針を実施するため、その実施方法について必要に応じて、その評価や問題点などを検討し、情報セキュリティの保護・管理を行うとともに、病院内で実施される情報セキュリティ対策に矛盾が生じないよう調整を行う。
2） 業務内容
（1） 病院のデータ保護に関する情報セキュリティ方針の適切な運用と、それに関する責任についての検討
（2） 病院の情報財産に対する脅威についての監視と予防対策の検討
（3） セキュリティ対策を実践するための病院長への提言
　3）業務の実務については、情報システム委員会の責任のもとに医事情報課・安全管理室が行う。
7　リスク管理
　セキュリティ管理は、セキュリティ対策と保護対象となる情報の価値とのバランスを維持するために、下記の点に留意して方針が決定される。
1） 情報システムのセキュリティ上の想定脅成(発生が懸念される不正暴露・改ざん・処理妨害等)
2） 想定脅威に対して、その発生が及ぼす損失とそのセキュリティ対策費用及び利便性を考慮した有効な対策とその速やかな実施
8　プライバシー情報
　行政機関の保有するプライバシー情報は「行政機関の保有する電子計算機処理に係わる個人情報の保護に関する法律」（1988年12月施行）によって法的に保護が義務づけられている。民間の機関に対しては本法律の適用はなされないが、他人の財産を管理し、しかも、一度暴露等の事故が発生すると、取り戻すことができないという情報固有の特性を考え、委託民間企業も含めた情報システムに関与するすべての利用者は、その保護に最優先で取り組まなければならないものとする。
9　セキュリティ管理
　病院長は、情報システムのセキュリティ確保のために各部門長を指名し、部門内のセキュリティ管理を務めるように指示する。
10　責任の分散
　セキュリティ管理の責任を分散し、特定の個人に権限と責任が集中して、矛盾を引き起こさないように配慮する。
11　違反者に対する処置
　本セキュリティ方針を含む組織、機関の定めた情報セキュリティに違反した者には、罰則を科する。
12　診療にかかわる情報のアクセス
　診療にかかわる情報にアクセスできる者は、医師及び関連する医療スタッフとし、患者による直接アクセスは、行えないこととする。ただし、医師の判断により診療に必要であると認めた情報を当該患者に開示する場合は、担当医師の責任において行うこととする。ただし、患者の要請に基づく全カルテの開示を行う場合は、別に定める「カルテ開示規定」によるものとする。
なお、診療の準備、症例研究、カンファレンス等の目的で診療にかかわる情報にアクセスする場合も同様に、医師の責任において行うこととする。

13　物理的なセキュリティ管理
　自然災害や装置の故障、盗難、破壊等から情報システムを保護するために以下の対策を実施する。
1） コンピュータ装置本体、ネットワーク管理装置等、オーダリングシステムの処理に重大な影響を与える装置は盗難や破壊、関係者外の利用から保護するための物理的な対策を実施
2） 全装置の一覧表を維持管理し、不正な持ち出し等が発生しないようにする。
3） システム診断用のハードおよびソフトの使用は利用目的を限定し、その使用を管理する。
4） 回線は、全ての部分で物理的に保護されることとし、定期的に検査する。
5） 電機設備の故障による停電等の場合でも、無停電電源供給装置（UPS）等の別系統電源供給によって電力の供給を可能とする。
6） 重大な故障又は災害時の業務継続計画（「情報システムダウン対策マニュアル」）は、別途定める。