情報セキュリティ基本方針（28.7.3理事会）｜北海道薬剤師国民健康保険組合

組合概要

情報セキュリティ基本方針

情報セキュリティ基本方針（28.7.3理事会）

平成２８年８月１日制定

１．総則
１．１目的
　情報セキュリティ基本方針(以下「ポリシー」という。)　は、北海道薬剤師国民健康保険組合（以下「組合」という。）の取扱う個人情報を、故意、過失、偶然の区別に関係なく、改ざん、破壊、漏えいから保護すると共に、情報システムに関する安全管理の重要性、及び個人情報の適切な取扱いと保護についての認識を高め、医療保険者としての信頼感と安心感の向上を図る事を目的として制定する。

１．２適用範囲
１）適用対象者
　ポリシーは、組合の役員及び職員、臨時職員、嘱託員並びに組合会議員（支部長）及び支部幹事　（以下「役職員等」という。）に対して適用する。ただし、ポリシーの対象となる業務を外部に委託する場合には、別途、ポリシーに準拠した内容の外部委託契約を締結する。
２）適用情報
　ポリシーは、情報システムで取扱う電子情報だけでなく、情報システムへ入力する前の紙媒体の情報や、役職員等の履歴書等全ての個人情報に対して適用する。組合が遵守すべき具体的な事項は、ポリシーに基づいた組織的、人的、物理的、技術的な対策を、情報システムに関する情報システム運用管理規程及び紙媒体の情報に関する文書取扱規程にまとめる。

１．３定義
１）ポリシー
　ポリシーとは、組合の個人情報保護方針に基づいて、組合の情報システムに関する安全管理についての基本姿勢を文書化したものである。
２）個人情報
　個人情報とは、氏名、住所、生年月日、性別等の個人を特定できる情報又は他の情報と組合せて個人を特定できる情報を含んだ情報をいう。なお、個人情報は、特定個人情報も含む。特定個人情報は、個人番号（個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。）をその内容に含む個人情報を指す。
　個人情報保護法においては、保護の対象は、「生存する」個人情報であり、死者に関する情報については、保護の対象とならない。番号法における特定個人情報についても同様の取扱いとなるが、特定個人情報のうち、個人番号については、生存者の個人番号であることが要件でないため、死者の個人番号も保護の対象となる。
３）情報システム
　情報システムとは、組合で運用する適用、徴収、給付、健診及び人事、財務会計等に関係するシステム並びにこれらのシステムへの接続機器等をいう。

２．基本原則
組合の情報システムは、次に掲げる基本原則により運用する。
１）保存義務のある情報の電子媒体による保存については、情報の真正性、見読性、保存性を確保する。
２）情報システムの利用にあたっては、守秘義務を遵守し、加入者個人の情報を保護する。
３）情報システムへのコンピュータウィルスの侵入及び外部からの不正アクセスに対して必要な対策を講じる。

３．管理運営体制
３．１ポリシーの管理体制
１）ポリシーは、理事会が維持管理を行う。
２）事務長は、理事会の指示を受け、各部署においてポリシーが遵守されるように指導、教育を行う。

３．２情報システムの運用体制
１）情報システムについては、運用責任者を置き、事務長をもってこれに充てる。
２）運用責任者は、情報システムの安全管理に必要な、組織的、人的、物理的、技術的対策を実施し、維持する。
３）運用責任者は、情報システムを円滑に運用するため、情報システムに関する運用を担当するシステム管理者を内部の者から指名することができる。

３．３苦情・質問への対応
　個人情報の取扱い及び情報システムの運用に関して、本人等からの苦情及び質問を受け付け、適切かつ迅速な対応を行う。

４．管理方法
４．１情報の管理
　情報システムで取扱う情報は、情報システム運用管理規程及び文書取扱規程に規定して、適切に管理・運用する。

４．２保管期間
　情報システムで取扱う情報は、法令に定められた保管期間を基本とする。

４．３利用者識別
　情報システムの利用者は、組合の職員、臨時職員、嘱託員及び外部委託業者に限定し、不正な利用を防止する。

４．４監督及び教育
　理事会は、役職員等に対して、情報セキュリティの重要性と、個人情報の適切な取扱い及び安全管理について、意識面及び技術面の向上を目的に必要かつ適切な監督及び教育を行う。

４．５事故の予防と対応
　組合は、ポリシーの遵守により、情報漏えい事故等の発生の予防に努める。万一、事故が発生した場合には、その事実を速やかに公表し、再発防止策を含む適切な対策を速やかに講じる。

４．６罰則規程
　理事会は、役職員等がポリシーに違反して、組合の情報セキュリティに重大な影響を与えた場合、又はそれに準ずる悪質な行為などが認められた場合、処罰を勧告することができる。

５．ポリシーの維持管理
５．１ポリシーの改訂及び公開
１）ポリシーは、以下のような場合等を想定して、理事会の決議・承認を経て改訂する。
a)IT技術の発展とポリシーの整合性を維持する必要がある場合
b)社会環境の変化とポリシーの整合性を維持する必要がある場合
c)法令及び標準規格等とポリシーの整合性を維持する必要がある場合

５．２監査及び是正措置
１）情報システムの適正な運用とその有効性を維持するために、必要な場合は、外部の専門家による外部監査を導入する。