情報セキュリティ基本方針

1. 目的

 三重県国民健康保険団体連合会(以下「本会」という。)では、保険者の共同目的達成のため、診療報酬の審査支払事業、保険者事務の共同電算処理事業、新・国保3%推進運動を中心とした保健事業支援、特定健康診査・特定保健指導事業、介護給付費の審査支払事業、障害者自立支援給付支払事業、保険料等の特別徴収に係る経由事務等を行うために、個人の診療内容等個人情報を中心とする重要かつ膨大な情報を取り扱っている。そのため、本会として社会的な信用の失墜はあってはならないものと考える。そこで、情報セキュリティマネジメントシステム(以下「ISMS」という)を意識した情報セキュリティ基本方針を定め、個人の情報を「情報資産」として保護、管理し、セキュリティの強化を図る。

 本基本方針は、本会が保有する個人情報を含む情報資産の機密性、完全性及び可用性を維持し、直面するリスクに対応するため、本会が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2. 適用範囲

 本会が保険者の共同目的達成のため保有する個人情報をはじめ、全ての情報資産並びに情報資産に接する全職員を適用範囲とする。

 詳細は<ISMS適用範囲定義書>に示す。

3. 情報セキュリティ推進体制 

 情報セキュリティ対策を推進するため、本会内に専門委員会(以下、「情報セキュリティ推進委員会」という。)を設け、情報資産の適正な管理及び安全保護を図るための権限と責任を有する最高情報統括責任者を置き、組織横断的な情報セキュリティ推進体制を確立するものとする。

4. 情報資産の分類及びリスク管理

 本会が業務上取扱う保険者の情報をはじめとする情報資産全てを適切に取扱うため、保有する情報資産を機密性、完全性及び可用性の観点から特定し、管理責任者を明確にする。

 特定した情報資産の資産価値や喪失時の影響度合いを脅威と脆弱性から評価し、脆弱性の対策を重視したリスク対策を実施する。

 なお、リスクアセスメント手順に基づき分析を行い、必要なリスク対策を実施する。

5. 情報セキュリティ対策

 情報資産を、故意、過失、災害、盗難、故障等の脅威から保護するため、以下の情報セキュリティ対策を講ずるものとする。

(1)物理的セキュリティ

 情報資産の破損及び不正な利用から保護するための、入退室管理や媒体の安全な保管等の物理的対策

(2)人的セキュリティ

 職員等に対するセキュリティ教育・啓発の実施や、外部委託時の守秘義務契約締結等の人的対策

(3)技術的セキュリティ

 不正アクセスからの防御、情報システム及びネットワークの適切な管理等の技術的対策

6. 法令遵守・罰則

 全職員は、業務を遂行する上で関係法令、契約および情報セキュリティに関連する例規集等を遵守する。

 違反した場合は、発生した事案の状況に応じて、懲戒処分の対象とする。

7. 評価・見直し

 最高情報統括責任者等からの指示、または監査・点検の結果、発生した事案を踏まえ、ISMSの評価・見直しを実施する。

最高情報統括責任者(CIO)
三重県国民健康保険団体連合会

事務局長



国保連合会とは

一般のみなさまへ

医療機関・介護福祉関係のみなさまへ