当社は、医療に携わる集団として、医療施設、医療関係者、患者様からの信頼を第一と考え、当社が取扱う情報資産を、機密性、完全性、可用性の観点から以下を基本方針として定めます。
1.基本声明
当社は、故意であるか偶発的であるかを問わず、すべての脅威から適用範囲内の重要な情報資産を適切に保護し、当社における業務上の目的を達成いたします。
2.コンプライアンス
当社は、情報セキュリティの重要性を認識し、当社が遵守すべき法令やガイドライン、当社が定める定款や就業規則等、顧客医療施設および患者様、外部関係機関等との間で締結した情報セキュリティに関連する契約を遵守いたします。
3.経営者の責任と義務
情報資産の適切な保護を経営上の重要課題として認識し、必要な経営資源を割り当てます。
保護すべき情報に対して顧客医療施設および患者様、外部関係機関との間で取り決められた契約を理解し遵守するとともに、その内容がお互いの業務の目的にとって不十分である場合には適切な修正を行い、相互の信頼関係を構築するとともに相互の繁栄を達成するよう努めます。
情報セキュリティ連絡会を設置し、全社横断的に情報セキュリティの確立、導入、運用、監視、維持、改善を実行いたします。
社員および関係部門に対して本方針に基づく適切な基準および実施手順に従うよう指導いたします。
4.社員の責任と義務
本方針を遵守することおよび情報資産を適切に保護することについて、重要性を十分に理解し、実践いたします。
事故が発生したまたは脅威に対する脆弱性を発見した際には、直接、間接を問わず速やかに情報システム部門へ報告する責任を負い、保護すべき情報資産に対してリスクが増大する行為を行いません。
5.リスクアセスメント
保護すべき情報資産について、機密性、完全性、可用性に対する脅威を想定し、これら脅威に対する脆弱性を評価いたします。この評価に基づき、各情報資産の機密性、完全性、可用性を保護し、維持するための管理策を策定し、実施いたします。
6.内部監査体制
当社は、定期的に内部監査部門によるシステム監査を実施し、本方針の遵守状況を確認いたします。
7.罰則規定
本方針に反する行為を行い、情報資産の毀損に至った場合、行為者である社員を懲戒処分、法的処分の対象といたします。
8.マネジメントレビュー
定期的または必要性が生じた場合に、本方針の見直しを行います。また、本方針の変更が生じた場合、関連する規程、手順書等を見直します。
本方針の見直しが行われた場合には、本基本方針に基づく規程等の妥当性を確認いたします。
