情報セキュリティポリシー
1 基本理念及び目的
会員の個人情報および、業務運営上の重要情報を守るため、情報セキュリティポリシー(以下、本ポリシーという)を策定し、それに準拠した実施手順を定め運用することにより、必要な情報セキュリティを確保する。
2 役割と位置付け
本ポリシーは情報セキュリティの方針を示す。すべての会員が、情報を正しく扱うための指針となる役割を持っている。
3 見直しと改訂
情報セキュリティの水準を適切に維持するため、状況の変化や技術の進歩に応じて、見直しを行い、必要に応じて改訂する。
4 法令等の遵守
情報の扱いに関しては、法令および規則等を遵守しなければならない。
5 適用対象範囲
1)会の事業のために作成された文書および電子化されたデータなどの情報、掲示板等に投稿された情報、会員名簿、外部より入手した個人情報を含む。会員の使用するパソコン、スマホ、インターネット端末など会員の使用するデバイス上の情報は含まない。会員のデバイス上の情報および文書の管理は、会員が第8条(守秘義務) に準じて行う。
2)クラウド上の情報処理システムおよび運用管理保守文書を含む。会員の使用するパソコン、スマホ、インターネット端末などのデバイスは含まない。
3)本ポリシーの対象者は、すべての会員を含む。
6 全体構成
本ポリシーは、基本方針および対策基準を含む。具体的な実施については、役員が実施手順を定める。
7 評価
状況に応じて、運用が本ポリシーに準拠しているか、実際のリスクに応じて適切かどうかについて確認する。
8 罰則
本ポリシーに違反した場合、規約に従って、処分の対象となることがある。重大な違反があった場合は、法的措置が講じられる場合がある。
9 用語の定義
セキュリティ用語集:IPA 独立行政法人 情報処理推進機構(https://www.ipa.go.jp/security/glossary/glossary.html)に準ずる。
10 セキュリティレベル
情報のセキュリティーレベルを次のように定める。
レベル6が最もセキュリティレベルが高く、レベル0が最も低い。閲覧者は、自分のレベルより低いレベルの情報は、すべて閲覧できる。
対象者(閲覧できる人) | 管理対象の例 | 認証ID | |
レベル6 | 役員のみ | 患者会名簿 | システム登録されたメールアドレス |
レベル5 | 正会員 | 患者の談話室 | Facebook ID |
レベル4 | 患者・元患者の代理人 | 正会員へのお知らせの閲覧 | 会員登録されたメールアドレス |
レベル3 | - | - | 会員登録されたメールアドレス |
レベル2 | 賛助会員 | 賛助会員へのお知らせの閲覧 | 会員登録されたメールアドレス |
レベル1 | 認証された人 | - | 会員登録されたメールアドレス |
レベル0 | 誰でも閲覧できる | 公開掲示板の閲覧 ホームページの公開部分 | 認証を行なわない |
認証を行なわない
文書およびクラウド上の情報処理システムにある情報は、セキュリティレベルに準じて、役員が管理を行う。会員のデバイス上の情報および文書の管理は、会員が第8条(守秘義務) に準じて行う。
12 対象となる情報処理システム
役員は管理責任者として、以下のクラウド上の情報処理システムを管理する。
Googleアカウント (gbs.kanjya.no.kai@gmail.com) で管理されるGoogle社提供のサービス。例)Google SiteおよびGoogle Groups、Google Drive、Gmail、Google Calendar、Youtube、Google+など
Google+アカウント(info@gbsjpn.org)で管理されるGoogle+ページ
Twiiterアカウント (gbsjapan) で管理されるTwitterサービス
Facebookグループ (gbsjapan)および Facebookページ (gbsjapanとgbsjpn)
ネットワークドメイン gbsjpn.org および gbsjapan.org
13 対象となる情報資産
役員は管理責任者として、以下の情報資産を管理する。
分類 | 情報資産名 | 個人情報 | 保管形態 | 保管場所 | 保管期間 | 機密性 | 完全性 | 可用性 | 管轄 | リスク所有者 | 利用者 |
会員情報 | 患者会名簿 | 含む | 外部クラウドサービス | Googleクラウド | 患者会永続中 | レベル6 | 高い | 高い | 役員会 | 管理役員 | 役員のみ |
意匠 | ロゴマークデータ | 含まない | 外部クラウドサービス | Googleクラウド | 患者会永続中 | レベル0 | 高い | 高い | 役員会 | 管理役員 | 役員のみ |
14 附則
施行 2016年7月28日
改訂 2016年8月17日 正会員の談話室をサポートフォーラムに名称変更
改訂 2016年8月20日 対象となる情報資産を追加
改訂 2016年10月19日 セキュリティレベルの改訂
改訂 2017年5月29日 公開掲示板とサポートフォーラムを廃止、患者の談話室認証ID記述の訂正