一般の皆様

情報セキュリティ基本方針

1 目 的

 富山県国民健康保険団体連合会(以下、「本会」という。)は、国民健康保険法に基づき、本会の会員である国民健康保険の保険者が共同して、その目的達成のための事業を実施するため設立された公法人である。
 本会では、主に保険者事務の共同処理、診療報酬及び介護給付費等の審査・支払事務並びに介護サービスに関する苦情処理、保健事業等を行っている。
 これらの事業を行うため、本会では、保険者及び保険医療機関、介護サービス事業者または利用者等から入手する情報並びに保険者へ提供する情報等、保護すべき重要な情報を多く取り扱っている。
 近年、情報の電子化やネットワークを介しての情報の交換が急速に普及しており、それにともない不正アクセスや電子化された大量の情報盗難、データの改ざん等、セキュリティ上の脅威が高まっている。また、個人情報の適切な保護も強く求められてきている。
 このため、本会が保有する個人情報をはじめとする全ての情報資産を、情報セキュリティ上の脅威から保護する必要があることから、情報セキュリティ基本方針(以下、「基本方針」という。)を定める。
 さらに、本会は情報セキュリティマネジメントシステム(以下ISMSという)を導入し、情報資産の保護・管理、セキュリティ環境の強化を図る。 

2 用語の定義

ISMSに関する用語は、JIS Q 27001:2006にて規定された用語を適用する。また、以下の用語を定義する。

  • 個人情報
    個人に関する情報であって、当該情報に含まれる氏名・生年月日その他の記述等により、特定の個人を識別することができるものをいう。
  • 情報システム
    電子計算機及び記録媒体で構成され、情報を処理するための仕組みをいう。
  • ネットワーク
    情報システムを相互に接続し、情報の通信を行うために敷設された回線及び回線利用のための機器をいう。
  • 情報資産
    本会が取り扱う情報及び情報システム・ネットワークをいう。  
  • 情報セキュリティ事故
    本会の情報資産の正常な運営や維持が妨げられる事象をいう。 
  • 脅威
    システム又は本会に損害を与える可能性があるインシデントの潜在的要因を指す。
  • 役職員等
    本会に勤務する全ての役職員(臨時職員及び嘱託職員、派遣職員を含む。)及び外部委託業者をいう。 
     

3 適用範囲

基本方針は、本会が保有する個人情報をはじめとする全ての情報資産及び情報資産に接する全ての役職員等を適用範囲とする。

4 情報セキュリティ推進体制

情報セキュリティ対策を推進するため、本会に専門委員会を設け、情報資産の適正な管理及び安全保護を図るための権限と責任を有する情報セキュリティ統括管理責任者を置き、組織横断的な情報セキュリティ推進体制を確立するものとする。

5 情報セキュリティ基本方針の遵守

役職員等は、情報セキュリティの重要性について共通の認識を持つとともに、基本方針を遵守し、適切に業務を遂行しなければならない。その際知り得た個人情報等の内容をみだりに他人に知らせたり、不当な目的に利用してはならない。

6 情報資産の分類及び管理

情報資産を適切に取扱うため、重要性を踏まえた分類を行い、分類レベルに応じた管理の方法及び責任者を定めるものとする。

7 情報セキュリティ対策

情報資産を、故意、過失、災害、盗難、故障等の脅威から保護するため、以下の情報セキュリティ対策を講ずるとともに、緊急事態に対応するための危機管理対策を講ずるものとする。

  • (1) 情報資産の破損及び不正な利用から保護するための、入退室管理や媒体の安全な保管等の物理的対策
  • (2) 不正アクセスからの防御、情報システム及びネットワークの適切な管理等の技術的対策
  • (3) 職員等に対するセキュリティ教育・啓発の実施や、外部委託時の守秘義務契約締結等の人的対策
  • (4) 情報セキュリティ事故等が発生した場合の速やかな対処の実施や原因究明、再発防止対策の実施等の危機管理対策

8 情報セキュリティ対策基準の策定

この基本方針に従い、前項各号に掲げる情報セキュリティ対策を講ずるにあたり、必要となる基本的な要件を明記した対策基準(以下、「対策基準」という。)を定め、想定される脅威に対応する。

9 情報セキュリティ監査の実施

基本方針及び対策基準(以下、「情報セキュリティポリシー」という。)が遵守されていることを検証するため、定期的に情報セキュリティ監査を実施するものとする。

10 情報セキュリティポリシーの評価及び見直し

情報セキュリティポリシーは定期的に見直しを行なう。さらに以下の場合について、情報セキュリティポリシーの評価及び見直しを行うものとする。

  • ア 情報セキュリティ統括管理責任者が、情報セキュリティ監査の結果を評価し、情報セキュリティポリシーの見直しが必要となると判断したとき。
  • イ 情報セキュリティ統括管理責任者が、情報セキュリティ事故の発生等により、情報セキュリティポリシーの見直しが必要となると判断したとき。
  • ウ 情報システムの、大幅な変更を行ったとき。

11 罰則

この基本方針に定められた遵守事項に違反した役職員等は、関係法令等の規定により、懲戒処分の対象とする。





上へ戻る