組合のご紹介 新規加入案内 保険料について 保険給付 保健事業 加入・脱退・変更 お知らせ
様式ダウンロード

075-221-6360 受付時間:【平日】9:00〜17:00

情報セキュリティ基本方針 情報セキュリティ基本方針

  • トップ
  • 情報セキュリティ基本方針

京都府酒販国民健康保険組合
情報セキュリティ基本方針

平成28年3月16日制定

目次

  1. 第1章 情報セキュリティポリシー等について

    京都府酒販国民健康保険組合(以下「本組合」という。)では、国民の健康にかかわる個人情報をはじめ、部外に漏洩、改ざん等した場合には、極めて重大な結果を招く情報を多く取り扱っている。これらの情報を安全に取り扱っていくには、情報の重要性を認識し、厳格に管理・運用して情報を保護することが重要と考えられる。さらには、利便性を向上させつつ安全性を追求し、情報管理の枠組みを明確に定め、実践していくことが本組合のこれからの重点項目である。
    本組合では、情報のセキュリティを保持するため、組合の統一方針として「京都府酒販国民健康保険組合情報セキュリティポリシー」を策定することとする。

    第1節 情報セキュリティポリシー

    情報セキュリティポリシーは、情報資産の安全を守るために定められる規則やルールであり、情報セキュリティ基本方針(以下「基本方針」という。)と情報セキュリティ対策基準(以下「対策基準」という。)からなる。セキュリティポリシーは公開することができる。

    1. 基本方針
      本組合は、本組合の情報の管理および情報セキュリティ対策についての基本的な考え方や方向性を定めた基本方針を定める。
    2. 対策基準
      本組合は、基本方針に基づいた情報セキュリティ対策を講ずるに当たって、遵守すべき行為、判断等の基準を統一的に定めるために、必要となる基本要件を明記した対策基準を定める。

    第2節 情報セキュリティポリシーの改訂

    本組合は、情報セキュリティを取り巻く状況の変化に速やかに対応するため、情報セキュリティ監査の結果等も踏まえ、情報セキュリティポリシーは定期的に見直し、必要に応じて改訂する。

    第3節 用語定義

    1. ネットワーク
      本組合において相互に接続するための通信網、その構成機器(ハードウェアおよびソフトウェア)および記録媒体で構成され、処理を行う仕組み。
    2. 情報システム
      ネットワーク、ハードウェア、ソフトウェアおよび記録媒体で構成された情報を処理する仕組み。
    3. 情報セキュリティ
      情報資産の機密の保持および正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持すること。
    4. 情報資産
      本組合が保有する全ての文書および電磁的データ、および本組合が保有する情報システムとネットワーク。
    5. 役職員
      本組合の役員、正職員、再任用職員、パート職員、臨時職員及び京都府酒販国民健康保険組合地区委託契約書第6条に定める地区職員。
    6. 情報セキュリティ責任者
      本組合における情報セキュリティ対策の責任者。原則として事務局長職者。不在の場合は、次席の主任職者。
    7. システム管理者
      情報システムを総括的に管理している担当者。
    8. 業務委託会社社員
      本組合における業務を委託され、本組合と雇用契約を結んでいないが本組合の情報資産を使用して業務を行う者。

  2. 第2章 基本的な考え方

    第1節 情報資産の範囲

    本基本方針が対象とする情報資産は次のとおりである。

    1. 本組合の業務で取扱う情報
    2. 本組合が保有する情報システム、ネットワーク
    3. 本組合の情報システム、ネットワークで取扱う入出力媒体(印刷した文書を含む)

    第2節 情報資産に関する脅威

    情報資産に対する脅威の発生度合や発生した場合の影響の大きさを考慮すると、特に認識すべき脅威は次のとおりである。

    1. 役職員および業務委託会社社員または外部による本組合の文書類の盗難、改ざん、消去等
    2. 外部からの不正アクセスまたは不正操作によるデータまたはプログラムの持ち出し・盗聴・改ざん・消去、機器および媒体の盗難等
    3. 役職員および業務委託会社社員による誤操作、不正アクセスまたは不正操作によるデータまたはプログラムの持ち出し・盗聴・改ざん・消去、機器および媒体の盗難および規定外の端末接続によるデータ漏洩等
    4. 地震、落雷、火災、風水害等の災害によるサービスの停止
    5. 事故、故障、障害等によるサービスの停止

    第3節 情報資産区分

    前節で示した脅威から情報資産を保護するために、情報が不当に他者に漏洩しない(機密性)、情報が改ざんされない(完全性)、障害発生時にも継続して提供できる(可用性)の3つの側面から、その重要度に応じて情報資産区分を設定する。
    情報資産区分に基づき、情報資産の保護管理要件を明確にし、想定されるリスクおよびその対策を明確にする。

    第4節 情報セキュリティ対策

    前節で示した3つの側面から情報資産の重要性を検討し、本組合は次の情報セキュリティ対策を講ずるものとする。

    1. 人的対策
      情報セキュリティに関する権限および責任を定め、役職員および業務委託会社社員に基本方針および情報セキュリティに関する法令等の内容を周知徹底する等、十分な教育および啓発が行われるよう必要な対策を講ずる。
    2. 物理的対策
      情報システムおよびネットワークを設置する施設への不正な立ち入り、並びに情報システム、ネットワークおよび情報資産への損傷・妨害等から保護するための物理的な対策を講ずる。
    3. 技術的対策
      情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策を講ずる。
    4. 開発・運用上の対策
      情報システム開発の外部委託、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等、開発・運用面の対策を講ずる。
      また、緊急事態が発生した場合に速やかな対応を可能とするための危機管理対策を講ずる。

  3. 第3章 情報資産

    第1節 情報資産の分類

    情報セキュリティ責任者は、所管部で管理している情報資産をそれぞれの重要度に応じた情報資産区分に分類しなければならない。

    第2節 保護管理要件の決定

    情報セキュリティ責任者は、情報資産区分をその情報を使用している使用者やシステム管理者に明示する。また必要に応じて追加の保護管理要件を設定し、想定されるリスクおよびその対策を明確にしなければならない。

    第3節 情報資産の取扱い

    情報資産の使用者やシステム管理者は、その情報資産に定められた情報資産区分に従って取り扱わなければならない。さらに、情報セキュリティ責任者が追加して定めた保護管理要件に従わなければならない。

  4. 第4章 人的対策

    第1節 職掌上の役割と責任

    本組合は、通常の業務の中で情報セキュリティを確保するために、職掌上の役割と責任を定める。
    理事長および役員は、本組合における情報セキュリティを確実にするために必要な支援を行い、また自ら情報を使用する際は情報セキュリティポリシーを遵守しなければならない。
    情報セキュリティ責任者は、情報セキュリティ確保の責任を負い、部下や業務関係者が情報セキュリティポリシーを理解し、遵守することを徹底しなければならない。
    職員および業務委託会社社員は情報セキュリティポリシーや情報セキュリティ責任者の指示を遵守し、情報を不正に使用されることを防止しなければならない。

    第2節 情報セキュリティ上の役割と責任

    情報セキュリティ確保のため、本組合内に、情報セキュリティ責任者、システム管理者、使用者の3つの役割と責任を定める。
    情報セキュリティ責任者は、自らが保有する情報資産を把握し、その重要度の判断を行い、情報資産区分を決定し、いかに管理するかを決定した上でシステム管理者に通知しなければならない。
    システム管理者は、職員および業務委託会社社員が情報システム上で情報を取り扱う上で、本組合情報セキュリティポリシーを理解し、遵守していることを管理しなければならない。
    また、情報セキュリティ責任者の指示に基づき情報資産の保護・管理を行わなければならない。
    使用者は、情報セキュリティ責任者およびシステム管理者の指示に基づいて情報資産を使用しなければならない。

    第3節 情報セキュリティ管理組織

    本組合は、本組合全般における情報セキュリティの方針を決定し、情報セキュリティ対策を計画、実施するために、情報セキュリティ管理組織を設ける。情報セキュリティ管理組織は、情報セキュリティ統括責任者、情報セキュリティ委員会及び情報セキュリティ委員会事務局で構成する。
    情報セキュリティ統括責任者は常務理事(コンプライアンス担当)とする。情報セキュリティ統括責任者は本組合における情報資産の管理及び情報セキュリティ対策に関する責任を有する。

    第4節 情報セキュリティに関する教育

    本組合は、役職員および業務委託会社社員への情報セキュリティポリシーの浸透と情報セキュリティ意識向上のため、情報セキュリティに関する教育を実施する。

    第5節 第三者による情報資産使用に関する方針

    本組合が業務委託会社社員等第三者に、本組合の重要情報資産を使用させる場合は、事前に情報セキュリティ委員会の承認を必要とする。また、情報セキュリティ上必要な事項については予め契約に定めておかなければならない。

    第6節 識別と認証

    使用者は、情報システムを使用する上で識別子(ID、カード等)と固有の認証子(パスワード等)を使用しなければならない。識別子と認証子の他の使用者との共有はできる限りしないものとする。また、識別・認証を確実に行えるように設定間隔、誤入力の取扱いを定め、管理された状態に置かなければならない。

  5. 第5章 物理的対策

    第1節 セキュリティエリア

    情報セキュリティ責任者は、不正侵入や業務への割り込みを防御するために、重要情報資産をもつ情報システムが存在するフロアには物理的な保護エリアを設定し、エリアを管理する責任者を定めた上で管理を行わなければならない。

    第2節 情報機器管理

    情報セキュリティ責任者およびシステム管理者は、情報機器の設置、廃棄、および移動については、適切な管理を行わなければならない。

  6. 第6章 技術的対策

    第1節 コンピュータおよびネットワーク管理

    システム管理者は、情報資産に関する脅威から情報資産を守るために、コンピュータやネットワークを適切に設定し、管理しなければならない。

    第2節 不正ソフトウェアからの保護

    システム管理者は、悪意のあるソフトウェアから保護するための検出および防止の管理を行わなければならない。

    第3節 アクセス制御

    システム管理者は、情報資産の情報資産区分に従い、承認された者のみが情報システムに対してアクセスが可能であるように制御しなければならない。

  7. 第7章 開発・運用上の対策

    第1節 情報システム運用管理

    情報システムの運用手順、事故管理手順を文書化し、その手順に基づいて適切に管理運用しなければならない。

    第2節 情報システム開発および保守

    1.開発・保守手順等

    システム管理者は、情報システムを開発する前には情報セキュリティ要件を明確にし、その要件に基づいて開発を行わなければならない。また、開発保守にあたっては、手順を明確にしなければならない。

    2.情報システム開発・保守環境

    システム開発者は、情報システムの開発環境および保守環境について、運用システムの環境と分離しなければならない。

  8. 第8章 緊急時対応計画の策定

    情報セキュリティ責任者は、主要業務毎に情報資産区分に基づいた、非常時の手順、バックアップ手順、業務再開手順等を含む緊急時対応計画を策定しなければならない。
    緊急時対応計画は定期的にテストを行い、計画の有効性を確認し、適宜見直さなければならない。

  9. 第9章 遵守

    第1節 ポリシーおよび法令の遵守

    役職員は、本組合の情報資産を使用して職務を遂行するにあたり、情報セキュリティポリシーおよび関連する法令等を遵守し、これに従わなければならない。

    第2節 点検

    情報セキュリティ責任者は、情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうか、定期的に点検を行わなければならない。

    第3節 情報セキュリティ監査

    情報セキュリティ委員会は、情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を行わなければならない。

    第4節 情報セキュリティポリシーに違反した場合の対応

    役職員が、情報セキュリティポリシーに違反した場合は、その重大性、発生した事案の状況に応じて別に定める懲戒処分等の対象とする。
    業務委託会社社員が、情報セキュリティポリシーに違反した場合の対応については、予め契約に定めておかなければならない。

附則
1.この方針は平成28年4月1日から施行する。

お問い合わせはこちら 国保への加入にご興味がある方は
まずはお気軽にご相談ください。