情報セキュリティポリシー

病院紹介へ戻る
ホーム > 病院紹介 > 機構について > 情報セキュリティポリシー

1.目的

地方独立行政法人加古川市民病院機構(以下「法人」という。)が取り扱う情報資産には、患者等および職員の個人情報や機密情報等が含まれており、それらをサイバー攻撃や災害等による脅威から守り、適切に管理する必要がある。 そのため、法人が保有する情報資産の機密性、完全性および可用性を維持することを目的として情報セキュリティポリシーを定める。

2.定義

情報セキュリティポリシーは、法人が保有する情報資産に関する情報セキュリティ対策について総合的に取りまとめた情報セキュリティ対策の基本となるものである。

3.対象とする脅威

情報セキュリティ対策を講じるうえでは、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮するものとする。特に以下の脅威を想定し、情報セキュリティ対策を実施する。

  • 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、情報の詐取、機器および媒体の盗難、内部不正等
  • 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規程違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、業務委託等の管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
  • 自然災害や火災、電力エネルギー供給や通信回線の途絶等の障害およびそれらに準ずる事象

4.適用範囲

4.1組織

地方独立行政法人加古川市民病院機構組織規程に定める組織を範囲とする。

4.2情報資産の範囲

情報セキュリティポリシーが対象とする情報資産は次のとおりとする。

  • ネットワークおよび情報システム並びにこれらに関する設備および電磁的記録媒体
  • ネットワークおよび患者等および職員の個人情報や機密情報等システムで取り扱う情報(これらを印刷した文書を含む。)
  • 情報システムの仕様書およびネットワーク図等のシステム関連文書

5.職員等の遵守義務

職員等(業務委託契約にある者を含む。)は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行にあたっては情報セキュリティポリシーを遵守しなければならない。

6.組織体制の確立、情報資産の分類・管理、物理的・人的・技術的セキュリティ対策をはじめとした情報セキュリティ対策

脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

6.1情報セキュリティ管理体制

法人の情報資産について、適切に情報セキュリティ対策を推進・管理するため、法人全体の組織体制を確立する。

6.2情報資産の分類と管理

法人の保有する情報資産を機密性、完全性および可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を講じる。

6.3物理的セキュリティ

コンピュータの設置場所への入退室、サーバ等の管理、通信回線および端末等への物理的な対策を講じる。

6.4人的セキュリティ

情報セキュリティに関し、すべての職員等情報取扱者が遵守すべき事項を定めるとともに、十分な研修・訓練および啓発を実施するなど人的な対策を講じる。

6.5技術的セキュリティ

コンピュータ等の管理、アクセス制御、コンピュータウイルス等不正アクセス対策等の技術的対策を講じる。

7.情報セキュリティ監査・自己点検の実施

情報セキュリティ対策の実施状況を評価するため、定期的および必要に応じて情報セキュリティ監査および自己点検を実施する。

8.情報セキュリティポリシーの見直し

情報セキュリティ監査および自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合およびその他情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

9.情報セキュリティ対策基準・実施手順の策定

地方自治法に掲げる情報セキュリティ対策基準および情報セキュリティ実施手順として、「医療情報システム運用管理規程」および「医療情報システム運用管理要領」、「医療情報システムBCP」を策定する。

9.1.医療情報システム運用管理規程

医療情報システムの安全かつ合理的な運用を図り、併せて、医師法および関連法規の規程に基づき保存が義務づけられている診療録等の電子媒体による保存の適正な管理を図るために、医療情報システム運用管理規程を定めるものとする。なお、医療情報システム運用管理規程の内容は、公にすることにより管理上のリスクがあることから原則非公開とする。

9.2.医療情報システム運用管理要領

医療情報システム運用管理規程に基づき、医療情報やシステムに関与する全職員に安全管理について特に具体的に周知するため、医療情報システム運用管理要領を定め、以下の内容を含めるものとする。

  • セキュリティ方針

  医療情報システム運用管理規程に基づき、医療情報やシステムに関与する全職員に安全管理について特に具体的に周知するため、医療情報システム運用管理要領を定め、以下の内容を含めるものとする。

  • 利用者マニュアル

  医療情報システム運用管理規程に基づき、医療情報やシステムに関与する全職員に安全管理について特に具体的に周知するため、医療情報システム運用管理要領を定め、以下の内容を含めるものとする。

なお、医療情報システム運用管理要領の内容は、公にすることにより管理上のリスクがあることから原則非公開とする。

9.3.医療情報システムBCP

脅威や誤作動等によって長期間にわたって医療情報システムの停止を余儀なくされる状況においても、診療業務を継続させつつ、システムを早期復旧するため、医療情報システムBCPを策定し、以下の内容を含めるものとする。

  • 対象とする事象
  • 体制整備

  対策本部、医療情報システム非常時の対応体制、訓練の実施、資料・紙伝票等の準備 等

  • 障害発生時における対応
  • 全体フロー
  • 対応手順(検知、初動対応、代替運用、復旧対応)

なお、医療情報システムBCPの内容は、公にすることにより管理上のリスクがあることから原則非公開とする。

附 則

この規程は、令和8年3月1日から施行する。

ページの先頭へ戻る
法人概要
役員名簿
組織図
公正な研究活動の推進について
コンプライアンス宣言・推進基本方針・推進行動計画
職業倫理/方針・指針
個人情報保護について
情報セキュリティポリシー