山形県国民健康保険団体連合会情報セキュリティ方針

１．目的
　山形県国民健康保険団体連合会（以下、「本会」という。）は、国民健康保険診療報酬の審査支払事務等及び保険者の円滑な事業運営に資するため、様々な事業を実施しています。
　本会では、これらの事業運営にあたり個人情報を含む機密性の高い情報を多く取り扱っており、保有する情報資産に係る機密性、完全性及び可用性を維持することが重要な社会的責務であると認識しています。
　本会は、この社会的責務を果たすため、情報セキュリティに関する基本方針を定め、情報資産の安全で適切な管理の確保に努めてまいります。

２．適用範囲
　本会のすべての事業、組織、役職員、審査委員、嘱託職員及び事務補助職員（以下、「役職員等」という。）、山形県国保会館及び事業運営の情報処理に係るハードウェア機器・ネットワーク機器・ソフトウェア等及びこれらで取扱う情報が当方針の適用範囲です。

３．基本方針
　本会は、以下の基本方針を定め、目的の達成に努めてまいります。
(1) 情報セキュリティ推進体制
　最高情報セキュリティ責任者を定め、JIS Q 27001規格に準拠した情報セキュリティマネジメントシステムを確立し、情報の安全な管理対策を組織全体で統一的に推進します。
(2) 内部規程の整備と周知徹底
　JIS Q 27001規格にもとづきＩＳＭＳ対策基準（以下、「対策基準」という。）及びＩＳＭＳ実施手順（以下、「実施手順」という。）を定め、役職員等に周知徹底します。
(3) 役職員等の遵守義務
　役職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行にあたって情報セキュリティ方針、対策基準及び実施手順の遵守義務を負います。
(4) 適切な情報セキュリティ対策
　情報資産に係る漏えい、改ざん、破壊等の事件・事故を未然に防止するため、対策基準及び実施手順にもとづき、人的・組織的・物理的・技術的な安全管理措置の観点から情報セキュリティ対策を実施します。
(5) 業務委託先の適切な管理
　業務委託にあたり、業務委託先としての適格性を充分に審査し、本会と同等の情報セキュリティレベルを維持・確保するよう要請、指導しています。また、当該情報セキュリティレベルが適切に維持されていることを確認するため、業務委託先の定期的な監査等を実施します。
(6) 継続的な教育・訓練
　対策基準及び実施手順に定めた情報セキュリティ対策を実施するため、役職員等への教育・訓練を継続的に実施します。
(7) 適切かつ速やかなインシデント対応
　発生した情報セキュリティインシデントに適切かつ速やかに対処し、必要な再発防止策を講じます。
(8) 監査等による情報セキュリティ対策の有効性確保
　対策基準及び実施手順が遵守され有効に機能していることを確認するため、定期的かつ必要に応じて情報セキュリティ監査等を実施します。
(9) 継続的改善の実施
　以上の取り組みを定期的に評価し見直すことにより、情報セキュリティマネジメントの継続的改善を実施します。

山形県国民健康保険団体連合会
理事長　加藤　正美
平成23年12月 1日　策定
平成30年 7月 1日　改定

• 特定個人情報等基本方針
• 個人情報保護方針