医療と介護のトータル・ライフケア

医療法人田北会 田北病院

TOTAL LIFE CARE TAKITA HOSPITAL

0743-54-0112

田北病院は、来ただけでホッとできる、
地域のホームホスピタルです。
医療・介護・福祉について、お気軽にご相談ください。
田北病院医療情報セキュリティポリシー

1. 目的
田北病院(以下「当院」という。)医療情報セキュリティポリシーは、当院の医療情報セキュリティ対策の基本的な方針として、適用の対象や位置づけ等を定め、当院が所掌する医療情報資産の機密性、完全性及び可用性を維持し、総合的・体系的かつ継続的に情報セキュリティ対策を行うことを目的とする。

2. 用語の定義

  1. 情報ネットワーク
    コンピュータを相互に接続するための通信網、接続機器のハードウェア(無線LANを含む)及びソフトウェア並びに電磁的記録媒体で構成され、処理を行う仕組みを情報ネットワークという。
  2. 情報システム
    ハードウェア及びソフトウェアで構成されるコンピュータ、情報ネットワーク並びに電磁的記録媒体で構成され、処理を行う仕組みを情報システムという。
  3. 情報資産
    次の各号を情報資産という。
    1. 情報ネットワークと情報システムの開発・運用に係る全ての情報及び情報ネットワークと情報システムで取り扱う全ての情報
    2. (1) の情報が記録された紙等の有体物及び電磁的記録媒体
    3. 情報ネットワーク及び情報システム
  4. 情報セキュリティ
    情報の機密性、完全性、可用性を維持すること。
    1. 機密性(confidentiality)
      情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
    2. 完全性(integrity)
      情報及び処理方法が正確であること及び完全である状態を保護すること。
    3. 可用性
      許可された利用者が必要な時に情報及び関連する資産にアクセスできることを確実にすること。

3. 情報セキュリティポリシーの構成
情報セキュリティポリシーとは、当院の情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものである。
情報セキュリティに関する文書は、以下の3つに分けて策定、管理するものとし、情報セキュリティ基本方針、情報セキュリティ対策基準及びセキュリティ実施手順から構成される。

【田北病院情報セキュリティポリシー】

■情報セキュリティ基本方針 
田北病院が所掌する医療情報資産に関する情報セキュリティ対策の基本的な考え方と方針を規定するものであり、情報セキュリティ対策の頂点に位置するものである。

■情報セキュリティ対策基準
田北病院医療情報セキュリティ基本方針に基づき、情報セキュリティ対策を統一的に講ずるために、職員等が遵守すべき行為及び判断等の基準を規定するものである。

■情報セキュリティ実施手順
田北病院医療情報セキュリティポリシーに基づき、情報セキュリティ対策を具体的に実施するために、職員等が遵守すべき情報セキュリティ対策の実施手順を具体的に規定するものであるが、内容については、田北病院情報システム運用管理規定に類似するため、これを情報セキュリティ実施手順とする。

4. 適用範囲
当院医療情報セキュリティポリシーの適用範囲は、以下の各号に示すものとする。

  1. 適用組織
    当院の各部及び事務の各課とする。
  2. 適用情報資産
    適用組織が所掌する医療情報資産とする。
  3. 適用対象者
    適用される情報資産に接する適用組織の職員(非常勤職員及び臨時職員等を含む。以下「職員等」という。)とする。

5. 職員等の義務

  1. 厳守義務
    職員等は情報セキュリティの重要性について共通の認識を持つと共に、当院が所掌する医療情報資産を取り扱う際には、不正アクセス行為の禁止等に関する法律や著作権法等の情報セキュリティに関連する法令並びに当院医療情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。
  2. 処分等
    本ポリシーに違反した職員等は、その重大性及び発生した事案の状況等に応じて処分対象となる場合がある。

6. 情報セキュリティ管理体制
当院の所掌する医療情報資産について、適切に情報セキュリティ対策を推進・管理するための体制を確立する。

7. 情報資産の分類
当院の所掌する医療情報資産をその内容によって分類し、その重要度に応じた情報セキュリティ対策を講ずる。

8. 情報資産への脅威
情報セキュリティ対策を講ずる上で、特に認識すべき脅威は以下のとおりである。

  1. 本ポリシーに規定する適用対象者以外の第3者による、故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し、盗聴、改竄、消去並びに機器及び記録媒体の盗難等。
  2. 職員等及び業務を委託した者(以下「外部委託業者」という。)による、誤操作又は故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し、盗聴、改竄、消去並びに機器及び記録媒体の盗難等。
  3. 地震、落雷、火災、水害等の災害、事故及び故障等。
  4. 廃棄時の漏洩。

9. 情報セキュリティ対策
当院の所掌する医療情報資産を先に掲げた脅威から保護するため、以下の情報セキュリティ対策を講ずるものとする。 情報セキュリティ対策を講ずる上で、特に認識すべき脅威は以下のとおりである。

  1. 物理的セキュリティ対策
    情報システムを設置する施設への不正な立ち入り、医療情報資産への損傷・妨害等を防ぐため、入退室や機器管理上の物理的な対策を講ずる。
  2. 人的セキュリティ対策
    医療情報資産に接する職員等の情報セキュリティに関する権限や責任等を定めると共に、全ての職員等に情報セキュリティポリシーの内容を周知徹底するため、教育及び啓発が行われるよう必要な対策を講ずる。
  3. 技術的セキュリティ対策
    医療情報資産を不正なアクセス等から適切に保護するため、医療情報資産へのアクセス制御、コンピュータウィルス対策等の技術的な対策を講ずる。
  4. 運用セキュリティ対策
    情報セキュリティポリシーの実効性を確保するため、情報システム等の稼動状況の監視や情報セキュリティポリシーの遵守状況の確認のため、運用面における必要な対策を講ずる。また、緊急事態が発生した場合に迅速な対応を可能とするため、危機管理対策を講ずる。

10. 情報セキュリティ対策に関する規定の公開・非公開
当院医療情報セキュリティ基本方針は公開するが、当院医療情報セキュリティ対策基準及び情報セキュリティ実施手順の公開は、犯罪の予防その他の公共の安全及び秩序の維持に支障を及ぼす恐れがあるため、これらは公開しない。

11. 情報セキュリティ対策実施状況の検証
当院医療情報セキュリティポリシーが適切に遵守されていることを確認するために、定期的に情報セキュリティ対策の実施状況について検証を行う。

12. 情報セキュリティ対策の評価・見直し
情報セキュリティ対策の実施状況の検証結果、情報システムの変更、新たな脅威等情報セキュリティを取り巻く情報の変化に対応し、当院医療情報セキュリティポリシー及び情報セキュリティ実施手順の評価と見直しを適宜行う。

附則
1. この当院医療情報セキュリティ基本方針は、平成19年10月1日から施行する。