市立野洲病院 情報セキュリティポリシー(抄)
第1章 情報セキュリティ基本方針
1.1 目的
市立野洲病院(以下「本院」という。)が各情報システムを利用し取り扱う情報資産に対し、様々な脅威から防衛するために、基本方針及び基本方針に基づいた対策基準を定め、病院の情報資産の機密性、完全性及び可用性を維持するため、病院が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
1.2 定義
(1)ネットワーク
本院の病院事業の用に供する施設を相互に接続及びこれらの施設内の端末機器等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェアを含む。)並びに記録媒体で構成され、処理を行う仕組みをいう。
(2)電子計算機
ハードウェア及びソフトウェアで構成するコンピュータ、周辺機器並びに記録媒体をいう。
(3)情報システム
電子計算機、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(4)情報資産
ネットワーク、情報システム、これらに関する設備、電磁的記録媒体、ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)、情報システムの仕様書及びネットワーク図等のシステム関連文書をいう。
(5)情報セキュリティ
情報資産の機密性、完全性、可用性を維持することをいう。
(6)情報セキュリティポリシー(以下「ポリシー」という。)
本基本方針及び情報セキュリティ対策基準をいう。
(7)機密性(confidentiality)
情報にアクセスすることが認可された者だけが、情報にアクセスできる状態を確保することをいう。
(8)完全性(integrity)
情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(9)可用性(availability)
情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(10)診療情報系ネットワーク
電子カルテや部門システム等の診療情報を取扱う情報システム及びデータをいう。
(11)オンライン資格確認系ネットワーク
政府のオンライン資格確認ネットワーク等に接続し、一般のインターネット回線に接続していない専用ネットワークをいう。
(12)インターネット接続系ネットワーク
一般のインターネットに接続された情報システム及びその情報システムで取扱うデータをいう。
(13)通信経路の分離
診療情報系ネットワーク、オンライン資格確認系ネットワーク、インターネット接続系ネットワークそれぞれはそれぞれ論理的に分離する。物理的な分離もネットワークの重要性に応じて利用する。
(14)改変の履歴
情報システムにおけるシステム障害やバグ、機能不足、操作性の課題など、システムやサービスそのものに対する苦情(品質・対応)、変更箇所、決定プロセス、テストプロセス、適用結果をいう。
1.3 対象となる脅威
情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、誤操作やマスタ等の設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
1.4 職員等の遵守義務
当院の情報システムを業務上取り扱う全ての職員および業務委託契約を含む職員(以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって当ポリシーおよび医療情報システム運用管理規程を遵守しなければならない。
1.5 情報セキュリティ対策
上記1.3に規定する脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
(1)組織体制
本院の情報資産について、情報セキュリティ対策を推進する組織体制を確立する。
(2)情報資産の分類と管理
本院の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。
(3)情報システム全体の強靭性の向上
情報セキュリティの強化を目的とし、業務の効率性・利便性の観点を踏まえ、情報システム全体に対し、次の3段階の対策を講じる。
①診療情報系ネットワークにおいては、原則として、末端の端末等から直接インターネットに出る経路を設けず、持ち込み端末や記憶媒体の認識を拒否する設定、端末への二要素認証の導入等により、診療情報への攻撃破壊や外部への情報流出事故を防止する。
また、厚生労働省のガイドラインに基づき、原則、ネットワーク接続デバイス全てに定期的な頻度で配信による方式にてセキュリティ更新を適用する。
②オンライン資格確認系ネットワークにおいては、端末から直接インターネットに出る経路を設けず、電子証明書による認証をはじめ、政府のガイドラインに準じた伝送方法により、不正アクセスや情報漏洩を防止する。
③インターネット接続系においては、ネットワークに接続するデバイス等を原則常時起動状態としたうえ、定期的な頻度によりデバイスのセキュリティ更新等が使用中のデバイス等に自動的に適用されるよう取り計らう。自動的に適用されないデバイスについては定期的な頻度でセキュリティ更新適用を実施する。
(4)人的セキュリティ対策
情報セキュリティに関して、職員等が遵守すべき事項を定めるとともに、1年に1回以上の情報セキュリティに関する教育及び情報セキュリティ対策の普及啓発を行う人的な対策を講じる。
(5)物理的セキュリティ対策
各ネットワークに接続する全てのデバイス、通信回線及びネットワーク機器等のハードウェア管理について、物理的な対策を講じる。
(6)技術的セキュリティ対策
コンピュータ等の管理、アクセス制御、不正プログラムの検疫、外部からの不正アクセス対策等の技術的な対策を講じる。対策方法は情報技術の進化に伴い定期的な見直しを図る。
(7)運用
情報システムの監視、ポリシーの遵守状況の確認、業務委託を行う際の委託先におけるセキュリティ確保状況等、ポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するべく、「市立野洲病院システムダウン時対応マニュアル」を策定し、定期的な訓練を計画実施する。
(8)業務委託と外部サービスの利用
業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記した「情報資産の取り扱いに関する特記仕様書」を請負者と締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて前述の契約に基づき措置を講じる。
(9)評価・見直し
ポリシーの遵守状況を検証するため、定期的又は随時情報セキュリティ監査及び自己点検を実施し、運用の改善を図り、情報セキュリティ対策の向上を図る。
1.6 情報セキュリティ監査及び自己点検の実施
ポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
1.7 情報セキュリティ対策基準の策定
上記1.5、1.6に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
1.8 医療情報システム運用管理規程の策定
情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた「医療情報システム運用管理規程」を定める。
なお、当院のポリシー全文および医療情報システム運用管理規程は、インターネット上に公にすることにより、インターネット上のAI等により自動収集され、病院運営に重大な支障を及ぼすおそれがあることから非公開とする。
令和5年3月制定
令和7年9月改訂
令和8年3月改訂
市立野洲病院
