愛媛県国民健康保険団体連合会(以下、「本会」という。)は、国民健康保険法に基づき、会員である保険者(市町・国民健康保険組合)が共同してその目的を達成するために必要な事業を行う事を目的としています。
本会は、主要業務である診療報酬の審査支払事業をはじめ、保険者事務の共同事業、介護給付費の審査支払事業、保険者が行う保健事業の支援等を実施していくうえで、取り扱う情報資産をあらゆる脅威から保護することが極めて重要な社会的責務と自覚しています。
本会は、事業運営上の情報セキュリティに対する責任を全うするため、以下の方針を定め、情報セキュリティマネジメントシステム(以下「ISMS」という。)を構築し、これを本会のマネジメントシステムの一環として組み込むことにより、情報セキュリティリスクを管理し、保険者等からの信頼を確実なものとしていきます。
1.情報セキュリティの目的
本会は、以下の目的を実現するためISMS を運用します。
(1) 国民健康保険団体連合会としての法的責任や社会的責任を自覚し、これを果たします。
(2) 業務のICT化が一層進む中、保険者の信頼を高めるために情報セキュリティの確保を重要課題と位置付けます。
(3) 本会が業務上取り扱う情報は、診療情報等の機微な個人情報等を取り扱うものであることから、適正な安全対策を実施します。
2.情報セキュリティ要求事項の遵守
本会は、ISMSを運用することにより、以下の情報セキュリティに関連する要求事項を遵守します。
(1) 個人情報保護法をはじめとする法的又は規制要求事項、各種ガイドラインの要求事項
(2) 保険者や関係機関等との契約等に含まれる要求事項
(3) その他、本会が受け入れることを決定した要求事項
3.情報セキュリティ対策
本会は、情報セキュリティリスクを管理し、情報セキュリティの目的を達成するために、以下の対策を講じます。
(1) 組織体制
ISMS 管理責任者を中心とした情報セキュリティ運営組織を設け、ISMS を確立し、情報セキュリティ活動を推進します。
(2) 人的セキュリティ対策
本会のすべての従業者に対し、情報セキュリティ教育を計画的に実施し、本方針と情報セキュリティ対策の周知徹底を図り、組織の情報セキュリティ意識の高揚に努めます。
(3) 外部委託先の管理
本会は、外部委託する業務について、委託先のセキュリティ評価や守秘義務契約締結等により、適切に管理します。
(4) 適切な情報資産の管理
本会が取り扱う情報資産を、事業への影響度に応じて適切に分類し、当該分類に基づき情報セキュリティ対策を行います。
(5) 物理的セキュリティ対策
環境的要因による脅威や部外者の侵入、並びに内部不正等の脅威から情報資産を保護するために、物理的な対策を講じます。
(6) 技術的セキュリティ対策
内部・外部の様々な脅威から情報資産を保護し、不正な侵入、漏えい、改ざん、紛失、破壊、妨害等が発生しないよう、十分な情報セキュリティ対策を反映した情報システムを構築し運用していきます。
4.インシデント対応
本会は、情報セキュリティ事件・事故が発生した場合、又はその予兆があった場合、速やかな対応及び手続きを行います。
また、原因を究明し、再発防止に努めます。
5.継続的改善
本会は、ISMS を運用することにより、情報セキュリティリスクへの対応を継続的に改善し、会員及び関係機関の期待に応えていきます。
令和4年 4 月 1 日
常務理事 髙橋 敏彦