○西知多医療厚生組合情報セキュリティの基本方針に関する規程
平成28年3月31日
訓令第3号
(目的)
第1条 この規程は、西知多医療厚生組合(以下「組合」という。)における情報資産の機密性、完全性、可用性を維持するための統一的かつ基本的な方針(以下「基本方針」という。)を定めることにより、情報セキュリティ対策を組織的に講じ、住民及び利用者の財産、プライバシーを守り、もって安定的かつ継続的に行政サービス、医療サービス及び正確な情報の提供を図ることを目的とする。
(1) 情報資産 ネットワーク及び情報システムの開発及び運用において取り扱う全ての情報(出入力帳票、ネットワーク構成図、情報システム仕様書等の有体物に記録された情報を含む。)をいう。
(2) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(3) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(4) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(5) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(6) ネットワーク 組合の内部機関を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。
(7) 情報システム コンピュータ、周辺機器、記録媒体及びそれを運用するためのソフトウェアの体系をいう。
(8) 部局等 西知多医療厚生組合事務分掌条例(平成22年西知多医療厚生組合条例第3号)第1条に規定する総務部、公立西知多総合病院処務規則(平成27年西知多医療厚生組合規則第17号)第2条第1項に規定する局及び部、同条第2項に規定する施設及び部並びに公立西知多看護専門学校の設置及び管理に関する条例(平成25年西知多医療厚生組合条例第5号)第2条に規定する公立西知多看護専門学校をいう。
(9) 課等 西知多医療厚生組合事務分掌規則(平成22年西知多医療厚生組合規則第11号)第2条に規定する課等、公立西知多総合病院処務規則(平成27年西知多医療厚生組合規則第17号)第2条第3項に規定する科又は課、同条第4項に規定する室及び公立西知多看護専門学校処務規則(平成26年西知多医療厚生組合規則第9号)第2条に規定する課をいう。
(10) 端末 パソコン、タブレット等の端末をいう。
(対象とする脅威)
第3条 情報資産に対する脅威として、不正行為、システム障害、災害、インフラ途絶障害等を想定し、情報セキュリティ対策を実施する。
(対象範囲)
第4条 この規程の対象は、次のとおりとする。
(1) ネットワーク、情報システム及びこれらに関する設備並びに記録媒体
(2) ネットワーク及び情報システムで取り扱う情報並びにこれらを印刷した文書
(3) 情報システムの仕様書及びネットワーク構成図等のシステム関連文書
(情報セキュリティに関する規程の構成)
第5条 情報セキュリティに関する規程の構成は次のとおりとする。
(1) 基本方針 本規定
(2) 情報セキュリティ対策基準(以下「対策基準」という。) 前号の基本方針に基づいた情報セキュリティに係る組合全体の具体的な遵守事項及び判断基準
(3) 運用管理要領 前号の情報セキュリティ対策基準に基づいた情報セキュリティ対策を実施するための具体的な実施手順及び運用管理方法
2 西知多医療厚生組合情報セキュリティポリシー(以下「情報セキュリティポリシー」という。)は、基本方針及び対策基準により構成するものとする。
(職員等の遵守義務)
第6条 組合の職員及び組合の業務の委託を受けた者(以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持つとともに、これを遵守する義務を負うものとする。
(最高情報セキュリティ責任者)
第8条 組合に係る全てのネットワーク、情報システム及び情報資産に対し、管理及び情報セキュリティ対策に関する最終決定権限を持つ責任者として、最高情報セキュリティ責任者を置き、西知多医療厚生組合の副管理者であり、管理者が選任されている東海市又は知多市(以下「組合市」という。)の副市長をもって充てる。
(最高情報セキュリティ副責任者)
第9条 組合に係る全てのネットワーク、情報システム及び情報資産に対し、管理及び情報セキュリティ対策に関する統括的な権限を持つ、及び最高情報セキュリティ責任者に事故があるとき又は最高情報セキュリティ責任者が欠けたとき、その代わりとなる権限を持つ責任者として、最高情報セキュリティ副責任者を置き、西知多医療厚生組合の副管理者であり、管理者が選任されていない組合市の副市長をもって充てる。
(統括情報セキュリティ責任者)
第10条 所管する総務部、公立西知多総合病院又は公立西知多看護専門学校に係るネットワーク、情報システム及び情報資産に対し、管理及び情報セキュリティ対策に関する統括的な権限を持つ責任者として統括情報セキュリティ責任者を置き、総務部長、公立西知多総合病院長及び公立西知多看護専門学校長をもって充てる。
(情報セキュリティ責任者)
第11条 所管する部局等に係る情報システム及び情報資産に対し、管理及び情報セキュリティ対策に関する権限を持つ責任者として、情報セキュリティ責任者を置き、部局等の長をもって充てる。
(情報セキュリティ管理者)
第12条 所管する課等に係る情報資産に対し、管理及び情報セキュリティ対策に関する権限を持つ管理者として、情報セキュリティ管理者を置き、課等の長をもって充てる。
(情報システム管理者)
第13条 所管する情報システムに対し、管理及び情報セキュリティ対策に関する権限を持つ管理者として、情報システム管理者を置く。
2 情報システムを管理する課等の長を、情報システム管理者とする。
(情報システム担当者)
第14条 情報システム管理者を補佐し、情報システムの運用、設定の変更、更新等の作業を行う者を、情報システム担当者とする。
(ネットワーク責任者)
第15条 所管するネットワーク及び共通的な情報システムに対し、管理及び情報セキュリティ対策に関する権限を持つ責任者として、ネットワーク責任者を置く。
2 ネットワーク責任者は、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者に対して、所管するネットワークに係る情報システム及び情報資産に対して管理及び情報セキュリティ対策に関する指導及び助言を行う権限を持つ。
3 総務部長を、総務部及び公立西知多看護専門学校を所管するネットワーク責任者とする。
4 公立西知多総合病院事務局長を、公立西知多総合病院を所管するネットワーク責任者とする。
(ネットワーク管理者)
第16条 所管するネットワーク及び共通的な情報システムに対し、管理及び情報セキュリティ対策に関する権限を持つ管理者として、ネットワーク管理者を置く。
2 総務課長を、総務部及び公立西知多看護専門学校を所管するネットワーク管理者とする。
3 公立西知多総合病院事務局医療情報課長を、公立西知多総合病院を所管するネットワーク管理者とする。
(ネットワーク担当者)
第17条 ネットワーク管理者を補佐し、ネットワーク及び共通的な情報システムの運用、設定の変更、更新等の作業を行う者を、ネットワーク担当者とする。
(情報セキュリティ委員会)
第18条 情報セキュリティの確保のための対策を推進し、及び管理するために西知多医療厚生組合情報セキュリティ委員会(以下「委員会」という。)を設置する。
2 委員会の組織及び運営に関し必要な事項は別に定める。
(情報セキュリティ対策)
第19条 第3条に規定する脅威から情報資産を保護するため、次の対策基準を策定する。
(1) 情報資産の分類及び管理 情報資産の機密性・完全性・可用性に応じた分類及び管理
(2) 物理的セキュリティ サーバ、管理区域、通信回線、通信回線装置及び端末の管理
(3) 人的セキュリティ 職員等が遵守すべき事項を定めること並びに研修、訓練、ID及びパスワードの管理
(4) 技術的セキュリティ コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等
(5) 運用 運営管理要領の策定、情報システムの監視、情報セキュリティポリシーの遵守状況の確認及び外部委託を行う場合のセキュリティ確保等
(6) 評価及び見直し 情報セキュリティ対策の監査及び自己点検並びにその結果による情報セキュリティポリシーの見直し
(職員の違反に対する対応)
第20条 情報セキュリティポリシー及び運用管理要領に違反した者に対しては、その違反の程度に応じて地方公務員法(昭和25年法律第261号)の規定による懲戒その他法令に基づく厳正な対応を行うものとする。
(非公開)
第21条 対策基準及び運用管理要領は、公にすることにより情報セキュリティの確保に重大な支障を及ぼす恐れがあることから公開しないこととする。
(委任)
第22条 この規程に定めるもののほか、情報セキュリティに関し必要な事項は、別に定める。
附則
この訓令は、平成28年4月1日から施行する。
附則(平成30年訓令第2号)
この訓令は、平成30年4月1日から施行する。