訪問介護事業所 タフラス

情報セキュリティ

基本方針

合同会社TuF(以下「当社」)が運営する訪問介護事業所タフラス(以下「当事業所」)は、利用者様、従業員、取引先等の個人情報や業務情報を保護するため、情報セキュリティの確保に最大限の努力を払っています。本情報セキュリティ基本方針(以下「本方針」)は、当事業所が取り扱う全ての情報資産のセキュリティを強化し、業務運営の信頼性と安全性を確保することを目的とした指針です。

当事業所は、情報セキュリティに関する法令および規制を遵守するとともに、従業員一人一人がその重要性を認識し、日々の業務において適切な対応を行うことを誓約します。

1. 情報セキュリティの目的と重要性

当事業所は、以下の目的を達成するために、情報セキュリティを最優先事項として取り組みます:

  • 機密性の確保:利用者様、従業員、取引先に関する個人情報や業務情報が不正に漏洩しないよう保護します。
  • 完全性の維持:情報が不正に変更されることなく、正確で完全な状態が維持されるようにします。
  • 可用性の確保:必要なときに、正確かつ迅速に情報を提供できる体制を構築します。

これにより、当事業所が提供するサービスの信頼性を高め、利用者様のプライバシーを守り、全ての関係者の信頼を維持します。

2. 適用範囲

本方針は、当事業所が取り扱うすべての情報資産に適用されます。以下の情報を含みますが、これに限りません:

  • 個人情報:利用者様および従業員の氏名、住所、連絡先、健康情報等
  • 業務情報:介護計画、サービス提供記録、業務上の連絡事項、財務データなど
  • ITシステムおよびインフラ:ネットワーク、サーバー、データベース、ソフトウェアなど
  • 物理的資産:書類、記録媒体、オフィス設備など

3. 情報セキュリティの組織体制

当事業所は、情報セキュリティを組織的に推進するため、専任の情報セキュリティ責任者を任命し、全従業員と連携して業務を行います。情報セキュリティ責任者は、以下の役割を担います:

  • 情報セキュリティ方針の策定および実施
  • 定期的なセキュリティリスクの評価と対策
  • インシデント発生時の対応および報告
  • 従業員への教育および訓練

さらに、情報セキュリティを全社的に推進するための委員会を設置し、重要な決定については経営陣と連携しながら意思決定を行います。

4. 情報セキュリティ対策

当事業所は、以下の対策を講じて情報セキュリティを維持・強化します:

  • 物理的セキュリティ:重要な情報を保管している施設に対して、アクセス制限を設け、施錠管理や監視カメラによる監視を行います。
  • 技術的セキュリティ:不正アクセスやサイバー攻撃から情報資産を守るため、強固なファイアウォール、データ暗号化、ウイルス対策ソフトウェアを導入します。また、システムは常に最新のセキュリティパッチを適用し、脆弱性を早期に発見・対処します。
  • 業務プロセスのセキュリティ:機密情報を取り扱う業務フローにおいて、従業員に対するアクセス権限の管理を厳格に行い、不必要な情報の取り扱いを避けます。

5. 従業員の教育と意識向上

情報セキュリティは、全ての従業員の責任であると認識し、当事業所は定期的に従業員向けの教育・訓練を実施します。教育内容は以下を含みます:

  • 情報セキュリティに関する基本的なルールと方針
  • 個人情報保護法および関連法令の遵守
  • 情報セキュリティインシデントに対する対応方法
  • セキュリティ意識を高めるための実践的なケーススタディ

これにより、従業員一人一人が情報セキュリティに対する責任を持ち、実際の業務に役立つ知識とスキルを習得します。

6. インシデント対応とリスク管理

当事業所は、情報セキュリティインシデントが発生した場合、迅速かつ効果的に対応するためのプロセスを整備しています。インシデント対応は以下のステップに従って行います:

  • インシデントの検出:リアルタイムでのモニタリングを通じて、セキュリティインシデントの兆候を早期に検出します。
  • インシデント対応:発生したインシデントについて、迅速に対応策を講じ、被害の拡大を防止します。
  • 報告および分析:インシデント発生後には、影響範囲や原因を詳細に分析し、再発防止策を策定・実施します。

また、定期的にセキュリティリスクを評価し、新たな脅威に対応するための対策を講じます。

7. サプライヤーおよび外部委託先の管理

当事業所は、外部委託先にも厳格な情報セキュリティ基準を適用し、契約において情報セキュリティの要件を明記します。外部委託先は、当事業所と同等のセキュリティ対策を遵守し、定期的な監査を実施します。

8. 定期的なレビューと改善

情報セキュリティ対策は、常に最新の脅威やリスクに対応するため、定期的にレビューおよび改善を行います。これには以下が含まれます:

  • 内部監査:情報セキュリティの状況を定期的に監査し、改善点を抽出します。
  • 外部監査:必要に応じて外部の専門機関による監査を受け、セキュリティ体制の信頼性を向上させます。
  • ポリシーの見直し:業務の変化や新たな技術に対応するため、情報セキュリティ基本方針を定期的に見直し、改訂を行います。

9. 法令遵守

当事業所は、情報セキュリティに関連するすべての法令および規制を遵守します。特に、個人情報保護法、医療情報保護に関する法令を遵守し、利用者様および従業員の個人情報を厳格に管理します。

10. 本方針の改訂

本方針は、法令や業務環境の変化に応じて改訂されることがあります。改訂された場合、速やかに当事業所の全従業員に通知し、実行に移します。改訂内容は当事業所のウェブサイトおよび内部イントラネットにて公開します。

制定日:2024年1月1日