情報セキュリティ基本方針

情報セキュリティ基本方針

制定日 2008年7月31日

改定日 2020年6月16日

株式会社EMシステムズ

代表取締役社長執行役員 國光 宏昌

当社の情報セキュリティ基本方針について

株式会社EMシステムズ(以下当社という)が当社のデータセンターに設置したサーバーをお客様に提供し運用管理するクラウドサービスを提供する担当部署(以下当グループという)を設置し、これらのサービスを、セキュリティの強固なデータセンターを設置して提供することで、お客様が所有する患者の個人情報や処方情報(以下医療情報という)について、安全、かつ、適切に管理することを社会的責務と考え、お客様と社会からの信頼に応えるもっとも重要な方針として情報セキュリティ基本方針を定める。

1.目的と活動の原則
当グループは、お客様の情報資産の機密性を最重要課題として、提供するサービスの高可用性を維持することがお客様からの重要な要求事項と認識している。
このため、JIS Q 27001規格に基づく、ISMS(Information Security Management System)を構築し、維持し、継続的に改善することにより、顧客情報の漏えい、改ざん、サービスの停止等、事業継続における潜在的なリスクに対処する仕組みを確立する。

2.法令・規定・規則
お客様の医療情報を含む情報資産を保護することを最大の重要事項として、情報セキュリティに関連する個人情報の保護に関する法律、不正競争防止法、不正アクセス禁止法等、企業の社会的責任を果たすために必要な法令・規制の遵守やお客様と締結する契約上の義務を遵守する。
また、データセンターで取り扱う情報資産の安全管理のため、厚生労働省の「医療情報システムの安全管理に関するガイドライン」及び経済産業省の「医療情報を受託管理する情報処理事業者向けガイドライン」に記載された安全措置を参考として、組織的安全管理、人的安全管理、物理的安全管理措置、技術的安全管理措置を講じる。
さらには当グループの自律的なルールを定め、企業としての責任を果たすために、定めたルールを遵守する。

3.ISMS組織環境の確立
事業上のリスクと環境の変化を適切に把握し、対処することを目的としたリスクマネジメントを確立するために、事業上のリスクと環境上の変化を適切に把握し、リスクマネジメントを実施する。合わせて、内部監査組織を設置して、構築したISMSの運営管理がJIS Q 27001規格及び規程/手順書に適合し有効であることを評価する。適用範囲の従業員には、セキュリティに関する教育・訓練を行ない、ISMSを適切に運営管理するために必要となる力量を持たせる。

4.リスクへの対応
当グループとして、お客様よりお預かりする医療情報を含む情報資産の機密性を重視する。また、クラウドサービスにおいては、完全性と可用性を重視する。
この原則に基づき、管理策を選択するためのリスク受容基準の設定及び、リスクの受容可能レベルを特定し、当グループが管理する情報資産(お客様の情報資産を含む)のリスクを評価するためのリスクアセスメントの方法を定める。選択したリスクアセスメントの方法は、比較可能で、かつ、再現可能な結果を生み出すものとする。

以上