情報セキュリティポリシーの概要（基本方針）

1　目的
　社会保険診療報酬支払基金では、診療報酬の「適正な審査」及び「迅速適正な支払」並びに高齢者の医療の確保に関する法律（昭和５７年法律第８０号）等の規定により支払基金が行うこととされている業務を実施している。
　これらの業務は、個人の診療内容など個人情報を中心とする重要かつ膨大な情報を取り扱うものであり、医療保険制度の円滑な運営を支える支払基金として情報資産の適切な安全対策を実施することは、その社会的責務である。
　この社会的責務を果たしていくため、支払基金は、支払基金の情報資産に係る安全対策に必要な情報セキュリティを確保、維持し、医療保険制度の安定的かつ効率的な運営の実施並びに情報資産の適切な保護のための基本方針として、本情報セキュリティポリシーを定める。

2　責務
　支払基金の全ての役職員等（役員、職員（非常勤嘱託、定年後再雇用者及び継続雇用職員を含む。）及び常任顧問）、審査委員、臨時職員、派遣職員、委託業者（請負業者及び派遣業者を含む。）その他期間を定めて雇用している者（以下「役職員等関係者」という。）は、この目的を果たすため、情報セキュリティポリシー（以下「ポリシー」という。）の遵守に責任を負うとともに、ポリシーを尊重しなければならない。

3　対象範囲
　対象範囲は、支払基金の業務に関する全ての情報資産及び全ての役職員等関係者とする。

4　基本的体制
　（1）　情報セキュリティ委員会
　支払基金本部に、最高情報セキュリティ責任者を長とする情報セキュリティ委員会を置く。
　（2）　最高情報セキュリティ責任者
　支払基金本部に、最高情報セキュリティ責任者を置く。
　（3）　最高情報セキュリティ副責任者
　支払基金本部に、最高情報セキュリティ副責任者を置く。
　（4）　情報セキュリティ責任者
　支払基金本部に、情報セキュリティ責任者を置く。
　（5）　情報システムセキュリティ責任者
　支払基金本部に、情報システムセキュリティ責任者を置く。
　（6）　情報セキュリティ監査責任者
　支払基金本部に、情報セキュリティ監査責任者を置く。
　（7）　最高情報セキュリティアドバイザー
　支払基金本部に、最高情報セキュリティアドバイザーを置く。
　（8）　ＣＳＩＲＴ
　支払基金本部に、ＣＳＩＲＴを置く。
　（9）　情報セキュリティ管理者
　支払基金本部及び地方組織に、情報セキュリティ管理者を置く。

5　情報資産の分類と管理
　支払基金の情報システムにおいて取り扱う情報について、機密性、完全性、可用性の３つの側面から重要性を検討し、情報資産を分類する。
　また、重要度に応じた適切な管理を行う。

6　情報資産のセキュリティ対策
　情報セキュリティ管理者は、情報資産がその目的に沿って適切に使用されるよう、正当な事由に基づくアクセスのみを可能とするため及び不正アクセスによって他の情報システムに対する攻撃に悪用されることを防ぐため、支払基金の情報システム等に対して、必要なセキュリティ対策を講ずる。
　セキュリティ対策は、物理的、人的及び技術的観点並びに運用の観点から、包括的な対策を講ずる。
　（1）　物理的セキュリティ
　情報システムの設置場所について、不正な立ち入り、損傷及び妨害から情報資産を保護するため、管理区域を設置する等の物理的な対策を規定する。
　（2）　人的セキュリティ
　情報セキュリティについて、役職員等関係者にポリシーの内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を規定する。
　（3）　技術的セキュリティ
　支払基金の情報資産を外部からの不正アクセス等から適切に保護するため、情報資産への接続及び利用の制限、ネットワーク管理等の必要な対策を規定する。
　（4）　運用
　ポリシーの実効性を確保するため、また、不正アクセス及び不正アクセスによって他の情報システムに対する攻撃に悪用されることを防ぐため、ポリシーの遵守状況の確認、ネットワークの監視といった運用面に関して必要な措置を規定する。

7　情報セキュリティインシデントへの対応
　情報セキュリティインシデントの発生を速やかに検知し、被害を最小限に抑えるための復旧体制を整えるとともに、原因究明及び再発防止に努める。
　また、緊急事態が発生した際の迅速な対応を可能とするため、緊急時対応計画を別途作成し、情報セキュリティ委員会の承認を受けるものとする。

8　法令の遵守
　役職員等関係者は、情報セキュリティに関する規定（法令、内部規程及び契約）を遵守し、適切に職務を遂行しなければならない。
　また、全ての管理職は、役職員等関係者に対してポリシーに違反する行為を命じてはならない。

9　監査・点検
　最高情報セキュリティ責任者は、情報資産の管理状況等について、ポリシーの遵守状況を検証するため定期的に情報セキュリティ監査の実施を指示するとともに、役職員等関係者は、ポリシーに沿った情報セキュリティ対策が実施されているかどうかについて、自己点検を行う。

10　罰則
　ポリシー及び情報セキュリティに関する規定に違反する行為を行った役職員等及び審査委員は、別に定める罰則の対象となる場合がある。

11　評価・見直し
　最高情報セキュリティ責任者は、新たに必要な対策が発生した場合又は情報セキュリティ監査・点検の結果を踏まえ、適宜、情報セキュリティ対策基準の評価・見直しを実施することとし、このための必要な措置を行う。

12　例外措置
　ポリシー及び情報セキュリティ関係規程の適用が職務の遂行を著しく妨げるなどの理由により、規定された対策の内容と異なる代替の方法を採用すること又は規定された対策を実施しないことを認めざるを得ない場合の対処について、必要な措置を規定する。