情報セキュリティ基本方針
秋田県医師国民健康保険組合 情報セキュリティ基本方針
| 制定 | 平成 | 27年12月12日 |
目 次
前文
第1章 情報セキュリティポリシー
第1条 基本方針及び対策基準
第2条 実施手順
第3条 情報セキュリティポリシーの改訂
第4条 用語の定義
第2章 基本的な考え方
第5条 基本方針の対象範囲
第6条 情報資産に関する脅威
第7条 情報資産区分の設定
第8条 情報セキュリティ対策
第3章 情報資産
第9条 重要度に応じた分類
第10条 区分の明示等
第11条 区分に従った取扱い
第4章 人的対策
第12条 職掌上等の役割の責任
第13条 管理組織
第14条 情報セキュリティに関する教育
第15条 第三者による情報資産使用に関する方針
第16条 識別と認証
第5章 物理的対策
第17条 セキュリティエリア
第18条 情報機器管理
第6章 技術的対策
第19条 コンピュータ及びネットワーク管理
第20条 不正ソフトウェアからの保護
第21条 アクセス制御
第7章 開発・運用上の対策
第22条 情報システム運用管理
第23条 情報システム開発及び保守
第8章 緊急時対応計画の策定
第24条
第9章 補則
第25条 情報セキュリティポリシー及び法令の遵守
第26条 点検
第27条 情報セキュリティ監査
第28条 情報セキュリティポリシーに違反した場合の対応
附則
秋田県医師国民健康保険組合(以下「組合」という。)では、組合員の健康にかかわる個人情報をはじめ、外部に漏えいし、又は改ざんされた場合等においては、極めて重大な結果を招く情報を数多く取り扱っている。これらの情報を安全に取り扱っていくためには、情報の重要性を認識し、厳格に管理・運用を行い、情報を保護することが重要である。さらには、利便性を向上させつつ安全性を追求し、情報管理の枠組みを明確に定め、実践していくことが組合のこれからの重点項目である。
そこで組合では、情報セキュリティを保持するための統一方針として、秋田県医師国民健康保険組合情報セキュリティ基本方針を策定する。
第1章 情報セキュリティポリシー
(基本方針及び対策基準)
第1条 情報セキュリティポリシーは、情報資産の安全を守るために定められる規則又はルールであり、情報セキュリティ基本方針(以下「基本方針」という。)
及び情報セキュリティ対策基準(以下「対策基準」という。)からなる。
(1) 基本方針
組合は、組合の情報の管理及び情報セキュリティ対策に関し、基本的な考え方及び方向性を定めた基本方針を定める。
(2) 対策基準
組合は、基本方針に基づいた情報セキュリティ対策を講ずるに当たって、遵守すべき行為、判断等の基準を統一的に定めるために、必要となる基本要件を明記した対策基準を定める。
2 情報セキュリティポリシーは、公開することができる。
(実施手順)
第2条 組合は、情報セキュリティポリシーを遵守して情報セキュリティ対策を実施するため、それぞれの担当及び情報システムについて、基本方針及び対策基準に基づき具体的な手順を明記した実施手順を定める。
2 実施手順は、公にすることにより組合の運営に重大な支障を及ぼす恐れのある情報であることから、公開してはならない。
(情報セキュリティポリシーの改訂)
第3条 組合は、情報セキュリティを取り巻く状況の変化に速やかに対応するため、情報セキュリティ監査の結果等を踏まえ、情報セキュリティポリシー及び実施手順を定期的に見直し、必要に応じて改訂する。
(用語の定義)
第4条 この方針における用語の意義は、それぞれ当該各号に定めるとおりとする。
(1) ネットワーク 組合において相互に接続するための通信網、その構成機器
(ハードウエア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
(2) 情報システム ネットワーク、ハードウエア、ソフトウエア及び記録媒体で構成された情報を処理する仕組みをいう。
(3) 情報セキュリティ 情報資産の機密の保持及び正確性、完全性の維持並びに情報資産を定められた範囲で利用可能な状態に維持することをいう。
(4) 情報資産 組合が保有する全ての文書及び電磁的データ並びに情報システム及びネットワークをいう。
(5) 役職員 組合の役員、正職員、嘱託職員、非常勤職員、出向職員、臨時職員及びパート職員をいう。
(6) 情報セキュリティ責任者 組合における情報セキュリティ対策の責任者で、事務長があたる。
(7) システム管理者 情報システムを総括的に管理している担当者をいう。
(8) 業務受託会社社員 組合における業務の委託を受けている会社の社員で、組合と雇用契約を結んでいないが組合の情報資産を使用して業務を行う者をいう。
第2章 基本的な考え方
(基本方針の対象範囲)
第5条 基本方針が対象とする情報資産は、次のとおりである。
(1) 組合の業務で取り扱う情報
(2) 組合が保有する情報システム、ネットワーク
(3) 組合の情報システム、ネットワークで取り扱う入出力媒体(印刷した文書を含む。)
(情報資産に関する脅威)
第6条 情報資産に対する脅威の発生度合及び発生した影響の大きさを考慮すると、特に認識すべき脅威は次のとおりである。
(1) 役職員及び業務受託会社社員又は外部による組合の文書類の盗難、改ざん、消去等
(2) 外部からの不正アクセス若しくは不正操作によるデータ若しくはプログラムの持ち出し、盗聴、改ざん若しくは消去又は機器及び媒体の盗難等
(3) 役職員及び業務受託会社社員による誤操作、不正アクセス若しくは不正操作によるデータ若しくはプログラムの持ち出し、盗聴、改ざん若しくは消去又は機器及び媒体の盗難並びに規定外の端末接続によるデータ漏えい等
(4) 地震、落雷、火災、風水害等の災害によるサービスの停止
(5) 事故、故障、障害等によるサービスの停止
(情報資産区分の設定)
第7条 前条に示す脅威から情報資産を保護するため、次の3つの側面からその重要度に応じて情報資産区分を設定する。
(1) 機密性 情報が不当に他者に漏えいしない。
(2) 完全性 情報が改ざんされない。
(3) 可用性 障害発生時にも継続して提供できる。
2 前項の情報資産区分に基づき、情報資産の保護管理要件を明確にし、想定されるリスク及びその対策を明確にする。
(情報セキュリティ対策)
第8条 前条第1項各号に規定する側面から情報資産の重要性を検討し、組合は、次の情報セキュリティ対策を講ずる。
(1) 人的対策
情報セキュリティに関する権限及び責任を定め、役職員及び業務受託会社社員に基本方針及び情報セキュリティに関する法令等の内容を周知徹底する等、十分な教育及び啓発が行われるよう必要な対策を講ずる。
(2) 物理的対策
情報システム及びネットワークを設置する施設への不正な立入り並びに情報システム及びネットワーク及び情報資産への損傷・妨害等から保護するため、物理的な対策を講ずる。
(3) 技術的対策
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策を講ずる。
(4) 開発・運用上の対策
情報システム開発の外部委託、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等、開発・運用面の対策を講ずる。また、緊急事態が発生した場合に速やかな対応を可能とするための危機管理対策を講ずる。
第3章 情報資産
(重要度に応じた分類)
第9条 情報セキュリティ責任者は、担当で管理している情報資産をぞれぞれの重要度に応じた情報資産区分に分類しなければならない。
(区分の明示等)
第10条 情報セキュリティ責任者は、情報資産区分をその情報を使用している使用者やシステム管理者に明示する。また、必要に応じて追加の保護管理要件を設定し、想定されるリスク及びその対策を明確にしなければならない。
(区分に従った取扱い)
第11条 情報資産の使用者やシステム管理者は、その情報資産に定められた情報資産区分に従って取り扱わなければならない。さらに、情報セキュリティ責任者が追加して定めた保護管理要件に従わなければならない。
第4章 人的対策
(職掌上等の役割と責任)
第12条 組合は、通常の業務の中で情報セキュリティを確保するために、職掌上の役割と責任を次のとおり定める。
(1) 理事長及び役員 組合における情報セキュリティを確実にするために必要な支援を行い、また、自ら情報を使用する際は、情報セキュリティポリシーを遵守しなければならない。
(2) 情報セキュリティ責任者 情報セキュリティ確保の責任を負い、部下や業務関係者が情報セキュリティポリシーを理解し、遵守することを徹底しなければならない。
(3) 職員及び業務受託会社社員 情報セキュリティポリシーや情報セキュリティ責任者の指示を遵守し、情報を不正に使用させることを防止しなければならない。
2 組合は、前項に定めるもののほか、組合横断的な役割と責任を次のとおり定める。
(1) 情報セキュリティ責任者 自らが保有する情報資産を把握し、その重要度の判断を行い、情報資産区分を決定し、及び管理方法を決定した上でシステム管理者に通知しなければならない。
(2) システム管理者 所属の職員及び業務受託会社社員が情報システム上で情報を取り扱う上で、組合の情報セキュリティポリシーを理解し、遵守していることを管理しなければならない。また、情報セキュリティ責任者の指示に基づき、所属先での情報資産の保護・管理を行わなければならない。
(3) 使用者 情報セキュリティ責任者及びシステム管理者の指示に基づいて、情報資産を使用しなければならない。
(管理組織)
第13条 組合は、組合全般における情報セキュリティの方針を決定し、情報セキュリティ対策を計画・実施するために、情報セキュリティ管理組織を設ける。
2 情報セキュリティ管理組織は、次の各号に掲げる者で構成する。
(1) 情報セキュリティ統括責任者 組合における情報資産の管理及び情報セキュリティ対策に関する責任を有し、理事(コンプライアンス担当)がこれに当たる。
(2) 情報セキュリティ委員会 情報セキュリティ統括責任者が任命する委員により組織する。
(3) 情報セキュリティ委員会事務局 情報セキュリティ統括責任者が任命する職員がこれに当たる。
(情報セキュリティに関する教育)
第14条 組合は、役職員及び業務受託会社社員への情報セキュリティポリシーの浸透と情報セキュリティ意識向上のため、情報セキュリティに関する教育を実施する。
(第三者による情報資産使用に関する方針)
第15条 組合は、業務受託会社社員等の第三者に対して、重要情報資産と区分される組合の情報資産(以下「重要情報資産」という。)を使用させる場合は、事前に情報セキュリティ委員会の承認を得なければならない。
2 組合は、情報セキュリティ上必要な事項については、あらかじめ第三者との契約書に明記しておかなければならない。
(識別と認証)
第16条 情報資産を使用する者(以下「使用者」という。)は、情報システムを使用する上での識別子(ID、カード等)及び固有の認証子(パスワード等)を使用しなければならない。
2 識別子と認証子は、他の使用者と可能な限り共有しないようにしなければならない。
3 使用者は、識別・認証が確実に行われるように設定間隔、誤入力の取扱いを定め、管理された状態に置かなければならない。
第5章 物理的対策
(セキュリティエリア)
第17条 情報セキュリティ責任者は、不正侵入及び業務への割込を防御するために、重要情報資産を有する情報システムが存在するフロアには物理的な保護エリアを設定し、管理を行うよう努めなければならない。
(情報機器管理)
第18条 情報セキュリティ責任者及びシステム管理者は、情報機器の設置、廃棄及び移動について、適切な管理を行わなければならない。
第6章 技術的対策
(コンピュータ及びネットワーク管理)
第19条 システム管理者は、情報資産に関する脅威から情報資産を守るために、コンピュータ及びネットワークを適切に設定し、管理しなければならない。
(不正ソフトウェアからの保護)
第20条 システム管理者は、悪意のあるソフトウエアから情報資産を保護するため、検出及び防止の管理を行わなければならない。
(アクセス制御)
第21条 システム管理者は、情報資産区分に従い、承認された者だけが情報システムに対してアクセスが可能となるように制御しなければならない。
第7章 開発・運用上の対策
(情報システム運用管理)
第22条 情報セキュリティ責任者は、情報システムの運用手順、事故管理手順を文書化し、その手順に基づいて適切に管理運用するよう務めなければならない。
(情報システム開発及び保守)
第23条 システム管理者は、情報システムを開発する前に情報セキュリティ要件を明確にし、その要件に基づいて開発を行わなければならない。
2 システム管理者は、開発・保守にあたっては、手順を明確にしなければならない。
3 システム管理者は、情報システムの開発環境及び保守環境について、運用システムの環境と分離しなければならない。
第8章 緊急時対応計画の策定
第24条 情報セキュリティ責任者は、主要業務毎に情報資産区分に基づいた、非常時の手順、バックアップ手順、業務再開手順等を含む緊急時対応計画を策定しなければならない。
2 緊急時対応計画は、定期的にテストを行い計画の有効性を確認し、適宜見直さなければならない。
第9章 補則
(情報セキュリティポリシー及び法令の遵守)
第25条 役職員は、組合の情報資産を使用して職務を遂行するにあたり、情報セキュリティポリシー及び関連する法令等を遵守しなければならない。
(点検)
第26条 情報セキュリティ責任者は、情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうか、定期的に点検を行わなければならない。
(情報セキュリティ監査)
第27条 情報セキュリティ委員会は、情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を行わなければならない。
(情報セキュリティポリシーに違反した場合の対応)
第28条 役職員が、情報セキュリティポリシーに違反した場合は、その重大性、発生した事案の状況に応じて懲戒処分等の対象とすることがある。
2 業務受託会社社員が、情報セキュリティポリシーに違反した場合は、契約書に定める対応を執るものとする。
附 則
この方針は、平成27年12月12日から施行する。