Open Nav

情報システム運用管理規程

情報システム運用管理規程(28.7.3理事会)

1.総則

1.1 目的
 情報システム運用管理規程(以下「本規程」という。)は、北海道薬剤師国民健康保険組合(以下「組合」という。)の情報セキュリティ基本方針(以下「ポリシー」という。)に従い、組合の業務を取扱うシステム(以下「情報システム」という。)の安全かつ合理的な運用を図るために必要な事項を定めることを目的とする。

1.2 適用対象
1)情報システム
 情報システムとは、組合で運用する適用、徴収、給付、健診及び人事、財務会計等に関係するシステム並びにこれらのシステムへの接続機器等をいう。
2)適用する情報
 管理対象となる情報は、情報システムで取扱う電子情報だけでなく、情報システムへ入力する前の紙媒体の情報や、従業者の履歴書等全ての個人情報を適用対象とする。なお、個人情報には、特定個人情報も含む。特定個人情報は、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報を指す。
 個人情報保護法においては、保護の対象は、「生存する」個人情報であり、死者に関する情報については、保護の対象とならない。番号法における特定個人情報についても同様の取扱いとなるが、特定個人情報のうち、個人番号については、生存者の個人番号であることが要件でないため、死者の個人番号も保護の対象となる。

2.組織的な対策

2.1 管理運営体制
2.1.1 体制及び責任者
1)ポリシーの遵守及び本規程の実施に必要な事項は、理事会の審議を経て、本規程に定める。
2)運用責任者は、情報システムを安全に運用する。
3)運用責任者は、本規程に定められた組織的、人的、物理的、技術的対策を実施して、情報システムを円滑に運用できるようにする。

2.1.2 管理者及び利用者の責務
1)運用責任者の責務
a)情報システムの機能が支障なく運用される環境を整備する。
b)情報システムに問題が発生した場合は、直ちに必要な処置を講じる。
2)システム管理者の責務
a)情報システムに用いる機器及びソフトウェアを導入するにあたって、システムの機能を確認する。
b)機器やソフトウェアに変更があった場合においても、情報が継続的に使用できるよう維持する。
3)利用者の責務
a)利用者は、与えられたアクセス権限を越えた操作を行わない。
b)利用者は、情報システム及び参照した情報を、目的外に利用しない。
c)利用者は、加入者等のプライバシーを尊重し、職務上知ることが必要な情報以外の情報にアクセスしてはならない。
d)利用者は、法令上の守秘義務の有無に関わらず、アクセスにより知り得た情報を目的外に利用し、又は正当な理由なしに漏らしてはならない。退職等により職務を離れた場合においても同様である。
e)利用者は、システムの異常を発見した場合、速やかに運用責任者に報告し、その指示に従う。
f)利用者は、不正アクセスやウィルス感染等を発見した場合、速やかに運用責任者に報告し、その指示に従う。

2.2 具体的な対策
2.2.1 予防処置及び是正処置
1)理事会は、加入者等からの苦情、緊急事態の発生、外部監査機関等からの指摘で、システムの機能、運用状況等に問題がある場合には、問題に対する予防処置及び是正処置(以下「処置等」という。)のための責任及び権限を定め、処置等の手順を定めて、これを実施させる。
2)運用責任者は、適切な情報システムの運用を維持するため、必要に応じ本規程に関わる次の事項を理事会に報告して、本規程の見直しについて審議する。
a)システム管理者等の運用状況に関する報告
b)苦情を含む外部からの意見
c)前回までの見直しの結果に対するフォローアップ
d)安全管理ガイドライン等の標準規格や法令等の規範の改正状況
e)社会の情勢等の変化、国民の認識の変化、技術の進歩などの諸環境の変化
f)情報システムの運用状況の変化
g)内外から寄せられた改善のための提案
3)処置等は、以下のような手順で行う。
a)発生した問題の内容を確認して、問題の原因を特定する。
b)発生した問題の処置等を立案する。
c)立案された処置等について、期限を定めて実施して、実施結果を確認する。
d)実施された処置等の有効性を確認する。
e)発生した問題について、問題の内容、原因、実施した処置等の実施結果及び有効性を記録する。

2.2.2 事故への対応
1)理事会は、事故が発生した場合は、再発防止策を含む適切な対策を速やかに講じる。事故については、発生の事実及び再発防止策等の事実を速やかに公表する。

2.2.3 非常時の対策
1)運用責任者は、災害、サイバー攻撃等により医療保険サービスの提供体制に支障が発生する「非常時」の場合を想定して、非常時に異常状態を通知する必要がある連絡先一覧を準備し、非常時には速やかに連絡を取り、必要な処置を講じる。

2.2.4 苦情・質問受付
1)運用責任者は、個人情報の取扱い及び情報システムの運用に関して、加入者等からの苦情及び質問を受け付ける。
2)運用責任者は、問題点の指摘等がある場合には、直ちに必要な処置等を講じる。

3.人的な対策
 運用責任者は、情報セキュリティの重要性と、個人情報の適切な取扱い及び安全管理について、意識面及び技術面の向上を目的に必要かつ適切な監督及び教育を行う。

3.1 研修の内容
 運用責任者及びシステム管理者は、情報システムの利用者に対し、必要に応じ、情報システムの取扱い及びプライバシー保護に関する研修を行う。

4.物理的な対策

4.1 立入り領域の制限
4.1.1 立入り領域の定義
1)事務所
組合の職員、臨時職員、嘱託員(以下「職員等」という。)が主に執務する場所を事務所という。

4.1.2 事務所
1)職員等以外の者が事務所に立ち入る場合は、必要に応じ来訪者記録の作成、同伴等の管理を実施する。
2)情報システムは事務所内の所定の場所に設置する。
3)事務所の出入口は施錠管理し、職員等の出退勤を記録・管理する。

4.2 情報システム
4.2.1 事務所の管理
1)運用責任者は事務所における火災、その他の災害、盗難に備えて、必要な保安処置を講じなければならない。
2)システム管理者は、事務所の温度、湿度等の環境を適切に保持する。

4.2.2 端末の管理
1)端末は、事務所内の所定の場所において保管管理する。
2)端末の廃棄にあたっては、ハードディスク等の既存情報を読み取り不可能な状態にしなければならない。
3)情報の消去処理等を外部業者に委託することができるが、その場合は、消去証明書等を受領するものとする。

4.2.3 外部機関との情報交換
1)医療保険者等、保守会社等、通信事業者、運用委託業者等の外部機関と医療保険情報を交換する場合、相手外部機関との間で、責任分界点や責任の所在を契約書等で明確にする。

4.2.4 電子媒体の管理
1)特に許可した場合を除き、情報のバックアップ業務以外には外部記憶媒体への個人情報の複写を禁止する。
2)電子媒体の廃棄は、原則粉砕処理とする。
3)個人情報を可搬型記録媒体(FD、CD-ROM、DVD、USBメモリ等)で授受する場合は、授受の記録を残す。
4)個人情報を記した電子媒体の廃棄にあたっては、安全かつ確実に行われることを、システム管理者が作業前後に確認する。

4.3 個人情報及び情報機器の持出し
4.3.1 個人情報及び情報機器の持出し制限
1)個人情報及び情報機器の事務所からの持出しは、組合用務及び業務委託による場合を除き持出しを禁止する。

4.3.2 盗難、紛失時の対応
1)持出した個人情報及び情報機器の盗難、紛失時には、速やかに運用責任者に報告する。
2)報告を受け付けた運用責任者は、その個人情報及び情報機器の重要度に従って対応する。

5.技術的な対策

5.1 情報システム
5.1.1 情報のバックアップ
1)情報システムの重要度に応じて、システムファイル及び情報のバックアップを定期的に取得する。

5.1.2 リスク対応(障害対策)
1)運用責任者は、情報システムに係る障害が発生した場合には、事態の掌握・収拾及び被害を最小限に止め、復旧作業の軽減、時間の短縮等を図るため、次の処置を講じなければならない。
2)利用者に対し事故発生時には、速やかに報告することを周知させる。
3)業務上において情報漏えい等のリスクが予想されるものに対し、運用ルール等の見直しを実施する。

5.1.3 情報システムの管理
1)個人情報にアクセスするための組合の情報システムは、インターネット等の組合外と情報交換ができるネットワークとは物理的に遮断する。
2)情報システムと許可されていない情報機器の接続は禁止する。
3)外部のネットワークと情報システムを接続する場合は、技術的な対策を適用したうえで接続する。

5.1.4 インターネットの利用・管理
1)インターネット利用は、業務上必要な場合に限られ、私的利用は禁止する。
2)運用責任者は、ホームページを含む不正アクセスや改ざんの防止のため、インターネットに係る各サーバー、ルータ等に適切な管理策等の処置を講じる。
3)組合の情報を、ホームページを用いてインターネットへ公開、又は公開情報を変更・削除する場合は、運用責任者へ申請する。
4)運用責任者は、ホームページに不正アクセスやホームページの改ざん等の問題がある場合は、適切な処置(予防・是正)を講じる。

5.1.5 電子メールの利用・管理
1)電子メールの私的利用は禁止する。
2)受信メールの自動転送については、組合外へのメール転送を原則禁止する。ただし、業務の遂行のためにあらかじめ許された指定メールアドレスへの転送は、信頼のおける転送方法をもって実施する場合のみ可能とする。
3)個人情報を含む情報を電子メールで送信する場合、個人情報を含む情報に暗号化処置等を講ずる等、情報の安全性に留意して、ファイルとして添付して送信することとする。この場合、復号用パスワードは別に送信し、紛失または誤送に備える。
4)電子メールに個人情報が含まれる場合は、送信・受信した後に速やかに削除することとする。

5.1.6 無線LANの管理
1)無線LANのセキュリティ対策については、総務省発行の「安心して無線LANを使用するために」を参考にして対策を実施する。
2)システム管理者は、不正アクセスの対策として、以下のような設定を施す。
a)少なくともSSIDやMACアドレスによるアクセス制限を行う。
b)ステルスモード、ANY 接続拒否を利用者以外のアクセスを排除する。
c)不正な情報の取得を防止するため、通信をWEP等の手法を用いて暗号化する。

5.2 一般的な運用事項
5.2.1 セキュリティパッチの適用
1)情報システムのサーバー及び端末には、ベンダーからの保証がない限り、原則として修正プログラムは適用しない。
2)インターネットへの接続を許可された端末については、オペレーティングシステムやパッケージソフト等のパッチ等の修正プログラムがメーカーより発行された場合、既存システムの影響を考慮してシステム管理者の指示に基づいて実施する。

5.2.2 ウィルス対策
1)悪意のあるソフトウェア等から保護するため、全てのサーバー、端末にアンチウィルスソフトを導入し、パターンファイルは常に最新のものを使用する。
2)定期的にソフトウェア等のウィルスチェックを行ない、感染の有無を確認する。
3)アンチウィルスソフトは、常に稼動させておくこととする。
4)業務上許された情報取得分については、ウィルスチェックを行い、問題のないことを確認後に使用する。
5)すべての着信メールについてウィルスチェックを行ない、感染の有無を確認する。
6)インターネットに接続するサーバーと端末は、配信型のアンチウィルスソフトの利用を可能とし、パターンファイルの更新は自動更新で行う。
7)インターネットに接続していないサーバーと端末は、最新パターンファイルを入手し更新する。
8)インターネットに接続していない端末は、最新のパターンファイルを、インターネットに接続した端末により取得し、手動で更新・配信することができる。

5.2.3 電子媒体の管理
1)媒体使用時は、必ずウィルス等の不正なソフトウェアの混入がないか確認する。

附 則
この改正規程は、平成28年8月1日より施行する。

イメージ画像

上にもどる