情報保護管理体制

社会保険診療報酬支払基金情報セキュリティポリシーによる管理体制

１　社会保険診療報酬支払基金情報セキュリティポリシーによる管理体制

支払基金の業務については、レセプトに記載された診療内容等の個人情報を中心とする重要情報を膨大に取り扱うものであることから、電子媒体及び紙媒体に記録されたデータ、情報システム等の情報資産に係る安全対策の基本方針及び対策基準を体系的にまとめた社会保険診療報酬支払基金情報セキュリティポリシー（以下「情報セキュリティポリシー」といいます。）を策定し、情報の保護に万全を期しています。

なお、情報セキュリティポリシーは、厚生労働省が定めた「レセプトのオンライン請求に係るセキュリティに関するガイドライン」のセキュリティ条件を確保した体制となっています。

組織体制として、本部に最高情報セキュリティ責任者を長とする情報セキュリティ委員会を設置し、本・支部に情報セキュリティ管理者、情報セキュリティ管理補助者及び情報セキュリティ管理担当者を置き、情報資産の使用と適切な管理を行うこと等について定めています。

情報の分類と管理として、電子媒体や紙媒体の情報を重要度、秘匿性によりⅠからⅣまでの４つの区分に分類（重要性分類）の上、当該媒体に明示（帳票等一部の媒体を除きます。）し、一定以上の重要な情報のコピー、外部への持ち出し等を行う場合は、情報セキュリティ管理担当者の許可を必要とすること等について定めています。

また、重要情報が記録された電子媒体や紙媒体が不要となった場合は、情報セキュリティ管理担当者の許可を得て、破砕、溶解、焼却等復元できない方法により廃棄すること等について定めています。

• 重要性分類

Ⅰ　業務上必要とする最小限の者のみが扱う情報

Ⅱ　公開することを予定していない情報

Ⅲ　外部に公開できる情報のうち業務上重要な情報

Ⅳ　上記以外の情報

物理的セキュリティとして、サーバ等の設置施設に対して、外部からの侵入を防ぎ、耐震対策、防火対策を講じた構造とするとともに、施設への立入りについては許可制とすること、許可なく個人所有のパソコン等を事務所内に持ち込んだり、業務用パソコンを事務所外に持ち出したりしてはならないこと、支払基金事務所内に入退所する役職員等には、職員証を着用させること等について定めています。

人的セキュリティとして、情報セキュリティ管理者や役職員等関係者の役割・責務を定め、責任を明確にすること、役職員等関係者へ教育・訓練を実施し、情報セキュリティポリシーについて啓発すること、また、パスワードを適切に管理すること等について定めています。

技術的セキュリティとして、コンピュータ及びネットワークに対するアクセス記録の取得、アクセスの制御、情報のバックアップ、情報システムの開発等についての事故・不正行為対策のための遵守事項、コンピュータウイルス対策、外部委託に関する管理方法等について定めています。

運用として、情報セキュリティ管理者等は、情報セキュリティポリシーが遵守されているか、また、問題が発生していないかについて定期的に確認を行うこと、情報システムの監視を行うこと等について定めています。

情報システム上の障害・事故発生時等の対応として、情報セキュリティに関する事故等が発生した場合における被害拡大の防止、復旧、連絡等の措置を迅速に実施するための対応手順等について定めています。

その他、情報セキュリティポリシー実施状況の監査及び点検の結果を踏まえ、必要な措置を行うこと、役職員等関係者は、法令、内部規程及び契約に定める情報セキュリティに関する規定を遵守し、適切に職務を遂行しなければならないこと等について定めています。

2　アカウント登録されているメールアドレスの利用目的

オンライン資格確認の導入に関する情報の他、以下をお知らせします。

・オンライン資格確認以外の医療等分野におけるデータ利活用の推進等に関する情報

・オンライン請求に関する情報