情報セキュリティ基本方針
1.目的
佐賀県国民健康保険団体連合会(以下「連合会」という。)は、診療報酬の審査支払業務、保険者事務の共同電算処理業務、保健事業支援等の事業及び介護給付費の審査支払い業務等を行うために、個人の診療内容等個人情報を中心とする重要かつ膨大な情報を取り扱っている。
近年の急速な高度情報化によって、情報の電子化が一般的になった。それに伴って不正アクセスや電子化された大量の情報の盗難、データの改ざん等セキュリティ上の脅威が高まり、また、個人情報の適切な保護が強く求められている。
医療保険制度の一役を担う連合会としては、情報資産の適切な安全対策を講じることにより、情報の安全性やシステムの信頼性を確保し、高い信用基盤を確立することは、社会的責務と考える。
この社会的責務を果たすため、連合会は、保有する個人情報をはじめとする全ての情報資産を様々な脅威から保護することを目的とした情報セキュリティ基本方針及び情報セキュリティ対策基準を定め、連合会の情報資産に必要な情報セキュリティを確保することにより医療保険制度の安定的な運営に寄与するものとする。
2.用語の定義
情報セキュリティポリシーにおける用語の定義について、次のとおり定める。
(1)情報セキュリティポリシー(以下「ポリシー」という。)
連合会が所有する情報資産の情報セキュリティ対策について、総合的、体系的かつ具体的にとりまとめたもので、どのような情報資産をどのような脅威から、どのようにして守るかについての基本的な考え方並びに情報セキュリティを確保するための管理方法、体調、組織及び運用を含め規定したものをいい、情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
(2)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(3)情報資産
情報及び情報システム、ネットワークをいう。
(4)情報
情報システム及びネットワークで取り扱われる情報(電子データ、光磁気ディスク等の電子媒体に記録されたデータ)及び紙媒体(診察報酬請求書、診療報酬明細書、各種帳簿、業務文書等)に記載された情報をいう。
(5)情報システム
電子計算機(ネットワーク、ハードウェア、ソフトウェア)及び電子媒体で構成され、情報を処理するための仕組みをいう。
(6)ネットワーク
連合会内を相互に接続するための通信網、その構成機器(ハードウェア、ソフトウェア)をいう。
(7)機密性
認可されていない個人、団体又はプロセスに対して情報を使用不可又は非公開にする特性のことをいう。
(8)完全性
情報の正確さ及び完全さを保護する特性のことをいう。
(9)可用性
認可された者が要求したときに、アクセス及び使用が可能である特性のことをいう。
(10)役職員等
常勤、非常勤及び臨時等の雇用形態を問わず、連合会に勤務する者をいう。
(11)審査委員等
国保診療報酬審査委員会委員、柔道整復施術療養費審査委員会委員、介護給付費審査委員会委員及び介護サービス苦情処理委員等、規約・規則等に基づいて連合会の情報資産に接する者をいう。
(12)外部委託業者
契約に基づいて連合会の情報資産に接する者をいう。
(13)第三者
役職員等、審査委員等及び外部委託業者に該当しない全ての者をいう。
(14)脅威
情報資産の価値を失わせる事象をいう。
(15)情報セキュリティ事故
連合会の情報資産の正常な運営や維持が妨げられる事象(情報漏洩、情報改ざん、サービス停止、ウイルス感染等)をいう。
(16)端末
情報システムの中で特にパソコン等の個人が操作する電子計算機全般をいう。
3.文書体系
ポリシーの文書体系を次のとおり定め、明文化する。
(1)情報セキュリティ基本方針
連合会における情報セキュリティ対策に対する基本的な考え方を表すもので、連合会がどのような情報資産をどのような脅威からなぜ保護しなければならないのかを明らかにし、連合会の情報セキュリティに対する取組姿勢を示すもの。
(2)情報セキュリティ対策基準
情報セキュリティ基本方針に基づき、情報セキュリティ対策を実施するための統一的な情報セキュリティ対策の基準
(3)情報セキュリティ実施手順等
情報セキュリティ対策基準に基づいた具体的な実施手順
情報セキュリティポリシーに関する体系図
4.適用範囲
連合会が保有する全ての情報資産及びこれらの情報資産に接する者全てをポリシーの適用範囲とする。
連合会が保有若しくは取り扱う全ての情報資産とする。
問い合わせ
佐賀県国民健康保険団体連合会〒840-0824 佐賀市呉服元町7番28号 佐賀県国保会館
電話:0952-26-4181(代表)