情報セキュリティーポリシー | 岐阜県国民健康保険団体連合会

1．基本理念

岐阜県国民健康保険団体連合会（以下、「連合会」という。）では、国民健康保険に係る診療報酬等の審査・支払事業、保険者（保険者とは国民健康保険の運営主体である市町村等）事務の共同処理、介護保険関係事業、保健事業関係、並びにこれらの関連事業において多くの保護すべき重要な情報を取り扱っている。

近年、情報の電子化やネットワークのオープン化といった情報通信技術が急速に普及しており、それにともない不正アクセスや大量の情報盗難、データの改ざん等、情報セキュリティ上の脅威が高まっています。このため、連合会が保有する個人情報を含む全ての情報資産を、情報セキュリティ上の脅威から保護するため、情報セキュリティ基本方針（以下、「基本方針」という。）を定め、これに基づいた情報セキュリティ活動を実践する。

このページの一番上へ

2．目的

本基本方針は、連合会が保有・管理する情報資産の機密性、完全性及び可用性を維持するため、連合会が実施する情報セキュリティ対策の基本的な事項を定めることを目的とする。

このページの一番上へ

3．用語及び定義

連合会の情報セキュリティにおける用語は、「レセプトのオンライン請求に係るセキュリティに関するガイドライン」、「地方公共団体における情報セキュリティポリシーに関するガイドライン」及び「JIS Q 27001：2006」で規定された用語に準拠する。

（1）資産（asset）: 連合会にとって価値を持つもの（情報、情報システム、ネットワーク等）
（2）可用性（availability）: 情報にアクセス及び使用することが認可された者が要求したときに、中断されることなくアクセス及び使用が可能である状態をいう。
（3）機密性（confidentiality）: 情報にアクセス及び使用することが認可された者だけが、情報にアクセス及び使用が可能である状態をいう。（認可されていない者に対して、使用不可又は非公開にする特性）
（4）情報セキュリティ（information security）: 情報の機密性、完全性及び可用性を維持すること。さらに真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含める。
（5）情報セキュリティポリシー（information security policy）: 本基本方針及び情報セキュリティ対策基準をいう。
（6）情報セキュリティ事象（information security event）: 情報システム、サービス又はネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反若しくは管理策の不具合の可能性、又はセキュリティに関連するかもしれない未知の状況を示しているものをいう。
（7）情報セキュリティインシデント（information security incident）: 望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いものをいう。
（8）完全性（integrity）: 情報が破壊、改ざん又は消去されていない状態をいう。（資産の正確さ及び完全さを保護する特性）
（9）残留リスク（residual risk）: リスク対応の後に残っているリスクをいう。
（10）リスクの受容（risk acceptance）: 連合会としてリスクを受容することをいう。（リスクを受容する意思決定）
（11）リスク分析（risk analysis）: リスク因子を特定し、リスクを算定することをいう。（リスク因子の特定及びリスク算定のための情報の系統的使用）
（12）リスクアセスメント（risk assessment）: リスク分析からリスク評価までのすべてのプロセスをいう。
（13）リスク評価（risk evaluation）: 算定されたリスクと連合会のリスク基準と比較し、リスクの重大さを評価することをいう。
（14）リスクマネジメント（risk management）: 連合会が保有するリスクを管理する調整された活動をいう。
（15）リスク対応（risk treatment）: リスクを解消（減少）させるための方策を、選択及び実施することをいう。
（16）適用宣言書（statement of applicability）: 連合会が適用する対策基準の管理目的及び管理策を記述した文書をいう。
（17）情報システム（information system）: ハードウェア、ソフトウェア、ネットワーク、もしくは記憶媒体又はこれらの複合体で構成されるものをいう。
（18）組織（organization）: 「岐阜県国民健康保険団体連合会事務局組織規程」に定めるところによる。
（19）職員（staff）: 「岐阜県国民健康保険団体連合会規約」第30条に定める者をいう。
（20）職員等: 役員、職員、嘱託職員、賃金職員、パート職員、審査委員、その他連合会と直接、間接(委託)の雇用契約にかかわらず、連合会業務を遂行するすべての者をいう。

このページの一番上へ

4．適用範囲

本基本方針の適用範囲は、次に定めるとおりとする。

（1）対象となる資産

連合会で取り扱う全ての有形、無形の情報資産
【書類、記録媒体（磁気テープ、ディスク、カセット等）、音声、記憶等を含む】
情報資産を取り扱うための情報システム（ハードウェア・ソフトウェア）及びネットワーク設備。
情報システムの仕様書及びネットワーク構成図等のシステム関連文書。

（2）対象となる組織

連合会の全ての組織。

（3）対象となる者

連合会の全ての職員等。
外部委託業者は、機密契約等により本基本方針に準じた情報資産の取り扱いを行うものとする。

（4）対象とする脅威

部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏洩・破壊・改ざん・消去等
情報資産の無断持ち出し、無許可ソフトウェアの仕様等規定違反、プログラム上の欠陥、操作ミス、故障等の非意図的要因による情報資産の漏洩・破壊・消去等
地震、落雷、火災等の災害によるサービス及び業務の停止等

このページの一番上へ

5．情報セキュリティ基本方針

連合会の資産を取り扱うすべての職員等は、業務を遂行するにあたって、本基本方針を順守する義務を負うものとする。

（1）情報セキュリティのための組織: 役員を含め情報セキュリティ体制を確立し、連合会全体で積極的に情報セキュリティ活動に取り組む。
（2）情報資産の管理: 情報資産の管理責任、分類基準及び利用範囲を定め、情報資産の価値及び重要度に応じた情報セキュリティ対策を行い、情報資産を管理する。
（3）人的資源のセキュリティ: 情報セキュリティに関して職員等が順守すべき事項を定めるとともに、職員等の教育・訓練等、十分な教育及び啓蒙活動を実施する。
（4）物理的及び環境的セキュリティ: 連合会は、保護すべきセキュリティ領域に情報処理施設及び設備を設置し、入退管理等の情報セキュリティ対策を実施することで、不法侵入者等による盗難、破壊、業務妨害等のリスクから物理的に保護する。
（5）通信及び運用管理のセキュリティ: 情報システム及び記録媒体等の運用管理責任及び手順を定め、情報システム及び情報セキュリティポリシーの遵守状況の監視・確認、外部委託を行う場合のセキュリティ確保等、運用管理の対策を講じる。併せて、コンピュータウイルス対策及び電子メールによる情報漏洩等の対策を実施する。
（6）技術的セキュリティ: 情報システムへのアクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を実施し、連合会外からの不正アクセスによる情報漏洩、並びに連合会を踏み台にした社会への攻撃等の迷惑行為を防止する。また、監視ログの取得及び分析を実施し、セキュリティ事故の防止に努める。
（7）情報システムの取得、開発及び保守: システム開発及び保守における必要な措置を講じ、情報システムへのセキュリティの組込みを確実にする。また、情報資産の機密性及び完全性を維持するため、暗号技術を適用し、連合会の重要な情報資産を保護する。
（8）情報セキュリティインシデントの管理: セキュリティインシデントの発生に備え、事象及び弱点の報告のための連絡網並びに事象に迅速かつ効果的に対応するための責任体制及び手順を定める。
（9）事業継続管理: 事業継続計画を策定し、事業活動の中断に対処するとともに、重大な故障又は災害の影響から重要な情報資産及び情報システムを保護する。
（10）順守: 法的要求事項及び本基本方針への順守状況を検証するため、適用法令を適切に識別し、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
（11）情報セキュリティ基本方針の文書化及び周知: 連合会は、この情報セキュリティ基本方針を文書化し、すべての職員等に周知する。
（12）情報セキュリティポリシーの見直し: 本基本方針の有効性を維持するため、情報セキュリティ監査及び自己点検の結果及び情報セキュリティに関する状況の変化により情報セキュリティポリシーの見直しが必要になった場合には、情報セキュリティポリシーを遅滞なく見直す

岐阜県国民健康保険団体連合会
常務理事市原一人
制定平成23年4月1日

このページの一番上へ

【お問い合わせ窓口】

所在地／連絡先: 〒500-8385
岐阜県岐阜市下奈良2丁目2番1号　岐阜県福祉・農業会館内
岐阜県国民健康保険団体連合会　総務課長
TEL　058-273-1111（内線　2592）
受付時間　月曜～金曜日（祝日を除く）　9時～17時