情報セキュリティ基本方針について

情報セキュリティ基本方針(以下「本方針」という。)は、一般財団法人 淳風会(以下、「当財団」という。)の情報セキュリティマネジメントシステム(以下「ISMS」という。)の枠組みと情報セキュリティに関する全般的な方向性および行動指針を定めるものです。

1. 情報セキュリティに関する当財団の取り組み

当財団の情報資産は、長年にわたり培ってきた貴重な事業上の資源であり、これらを有効活用することは当財団が担う業務の価値向上の源泉であること、またその適切な取り扱いが受診者様、患者様および関連する企業様や連携先の医療機関様の安全・安心を確保するために重要であることを十分に認識し、ISMSを構築、導入、運用、監視、見直し、維持、改善し、かつこれを継続的に実施することにより、事業上重要な情報資産を適切に保護・管理し、当財団事業を通じて全ての利害関係者から安心・安定・信頼を得る組織となることを目指します。

2. ISMS行動指針

当財団および重要関係先の従業員は、当財団の事業運営上、情報資産の確実な管理と業務の実効性・効率性を確保することが必要不可欠であることを自覚し、本方針および情報セキュリティ文書にて規定した事項を遵守し、業務を遂行します。また、業務を通じて情報セキュリティ上の弱点を確認した場合は、速やかに情報セキュリティ責任者に報告し改善に繋げることにより、当財団ISMSの有効性を改善していきます。

3. 情報セキュリティ目標を設定する枠組み

当財団は、本方針に則った情報セキュリティを確実に実施するために、「ISMS実行計画」に当年度の情報セキュリティ目標を定め、その目標達成に向けて行動します。

4. 要求事項に対する遵守

当財団および重要関係先の従業員は、情報セキュリティに係る法令、規制、契約上のセキュリティ義務、本方針およびその他の当財団情報セキュリティ関連文書の規定を遵守します。

5. 戦略的なリスクマネジメントを前提としたISMSの確立および継続的改善

当財団は、事業運営の見地から認識する様々なリスクに対する戦略的なリスクマネジメントを前提としたISMSを確立、実施、維持し、継続的な改善を実施します。
当財団ISMSは、JIS Q 27001:2023の要求事項に従い、自らの事業の活動全般および直面するリスクを考慮し、PDCA (Plan-Do-Check-Act)をモデルとしたプロセスアプローチに基づいて構築し、導入、運用、監視、見直し、維持、改善することにより、事業上の重要な情報資産を適切に保護・管理することを目指します。

6. 情報セキュリティリスクを評価するための基準の確立

当財団は、情報資産に対するリスク評価基準およびリスク受容基準を設け、各情報資産が有するリスクを正しく評価します。

7. ISMSの効果的運用体制の確立

当財団は、理事長または理事長の任命する執行理事を情報セキュリティ統括責任者とし、CPO(Chief Privacy Officer)を長とする情報セキュリティ委員会を常設し、情報セキュリティ対策の実施状況の確認および改善策の討議を行います。
また、CPOの下に実務推進機関として情報セキュリティ委員会事務局を設け、情報セキュリティ確保のための適切な施策を検討、実施します。

8. 経営陣の承認および周知

本方針は理事長によって承認され、当財団および重要関係先の従業員全てに周知しています。

9. 罰則

当財団および重要関係先の従業員が、4.の要求事項に違反した場合、その内容・程度により就業規則または契約に基づいた厳格な処置(契約の解除や損害賠償請求)をとる場合があります。

10. 改廃

本方針を含めた当財団の情報セキュリティ文書は、環境の変化に応じて随時見直すものとし、その改廃についても見直しを行ってまいります。