情報セキュリティ対策における 電子情報機器の使用

Ver.2.0 2012 May
情報セキュリティ対策における
電子情報機器の使用に対するガイドライン
[初
版]
平成24年6月1日制定
Nihon University Itabashi Hospital
日本大学医学部附属板橋病院
Ⅰ このガイドラインの趣旨・目的
このガイドラインは,日本大学情報管理宣言(平成22年11月2日付本監査内発第15号に
より通知)に基づき,また,板橋病院における個人情報保護に関する基本方針を踏まえ,
板橋病院に勤務する教職員等が個人情報及び機密情報の適正な取扱いに当たり,パソコ
ン及びパソコン用補助記憶装置(USBメモリ・SDカード・外付ハードディスクなど)の使
用ルールについて定めるものである。
Ⅱ 用語の定義
1 個人情報
「個人情報」とは,生存する個人に関する情報であって,特定の個人を識別すること
ができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別
することができるものを含む)をいう。
「個人に関する情報」とは,氏名,性別,生年月日,年齢,住所,職業,続柄等の事
実に関する情報に限られない。個人の身体,財産,職種,肩書,学暦・学習暦(学校
の在籍記録,学籍番号,科目履修表,学業成績,人物評価など)等の属性に関する判
断や評価を表すすべての情報を指し,公刊物等によって公にされている情報,映像や
音声による情報(写真やビデオ等に記録したものなど)も含まれる。これら「個人に
関する情報」が氏名等と相まって「特定の個人を識別することができる」ことになれ
ば,それが「個人情報」となる。
なお,生存しない個人に関する情報が,同時に,遺族等の生存する個人に関する情
報に当たる場合は,当該生存する個人に関する情報となる。
2
機密情報
「機密情報」とは,法令等の定めにより守秘義務を課せられている情報など,公開す
ることにより本学をはじめ医学部及び付属病院の事業の執行や関係者に重大な影響を
及ぼす情報をいう。
なお,パソコンのパスワードやシステム設定情報も「機密情報」に含まれる。
3
匿
名
化
「匿名化」とは,個人が特定できないよう,少なくとも患者ID,氏名,住所,電話番
号(場合によっては生年月日も含む)をデータから削除することをいう。研究や教育
などでデータの再検証が必要な場合は,患者ID,氏名,住所,電話番号のデータを取
り除き,新たに識別番号を作成し既存の患者IDと置き換えるデータ加工を行い,識別
番号と患者IDの対応表による「連結可能匿名化」を行う。
4
暗
号
化
「暗号化」とは,第三者がディスク内のデータを閲覧してもランダムな文字や数値に
しか見えず,内容が識別できないようにデータを変換することをいう。
暗号化したデータを識別できるように戻すことを「復号化」といい,復号化にはパ
スワード(物理的な鍵)が必要となる。
- 1 -
Ⅲ このガイドラインの適用対象となる者
このガイドラインは,板橋病院の業務(診療・研究・教育・診療支援・事務処理など)
に関わるすべての者と,板橋病院で研修や実習を受ける者すべてを対象とする。したが
って,研修生や実習生に対しては,教育担当者が責任を持ってこのガイドラインについ
て説明を行うものとする。
Ⅳ パソコンの使用ルール
別紙(パソコンセキュリティレベルの意味)
セキュリティレベル「1」
ウイルス対策ソフトがインストールされ,OSにアルファベットと数字が混在
した「6桁以上」のパスワードが設定されている。
セキュリティレベル「2」
セキュリティレベル「1」に加え,BIOS(Firmware)にアルファベットと数
字が混在した「6桁以上」のパスワードが設定されている。
セキュリティレベル「3」
セキュリティレベル「2」「3」に加え,ハードディスクの全体またはデータ
格納領域が「暗号化」されている。
1
セキュリティレベルにおける具体的対応
セキュリティレベル「1」の状態にないパソコン(オーダリングシステム用を除く)
は,板橋病院内で使用することができない。
また,日本大学情報管理宣言により,やむを得ず個人情報及び機密情報を外部(外
部とは板橋キャンパス外をいう)に持ち出す場合は,各部署毎に所属長の許可を得た
うえで,セキュリティレベル「3」の状態でないとならない。
ただし,個人情報において「データの匿名化」がなされている場合は,セキュリテ
ィレベル「2」の状態であれば持ち出しをしても差し支えない。
なお,セキュリティレベルを識別するため,ノートパソコンの場合は,ディスプレ
イの表側に,デスクトップパソコンの場合は,本体の設置した状態で見える場所に「セ
キュリティシール」を貼らなくてはならない。
2
セキュリティレベルの確認
①
病院で購入したパソコンの場合
毎年実施されている「日本大学ソフトウェア監査」において,管理区域(部署単
位)毎に作成している「パソコン管理台帳」にパソコン単位でセキュリテレベルを
記入し,管理区域担当者が確認する。
- 2 -
②
個人で購入したパソコンの場合
「日本大学ソフトウェア監査」の管理台帳に新たに「私物パソコン管理台帳」を作
成し,所有者毎にパソコン単位でセキュリティレベルを記入し,管理区域担当者が
確認する。
なお,「日本大学ソフトウェア管理内規」において,私物のパソコンを学内に持ち
込む場合は,所属長の許可を得ることが義務付けられているため,「私物パソコン管
理台帳」を所属長(管理区域責任者)が確認(押印)することによって許可をした
ものと判断する。
3
重要データのバックアップ
セキュリティレベル「2」において,BIOS(Firmware)にパスワードを設定した場
合,ハードウェアアクセスにロックをかけるため,パスワードを忘れるとOSも起動
することができなくなりパソコンとして機能しなくなる。
また,セキュリティレベル「3」において,ハードディスクを「暗号化」した場合,
ハードディスクがクラッシュするとデータの復旧ができなくなる。
したがって,セキュリティレベル「2」「3」を実行する場合は,必ず,外付けハー
ドディスクにデータのバックアップを取り,定期的にディスクの消耗診断を行う必要
がある。
4
ウイルス感染対策
①
ウイルスソフトの定義ファイル更新
パソコンを使用する時は,ウイルスソフトの定義ファイルが更新されているか確
認し,更新されていない場合は手動で更新を行い,常に最新の状態で使用する。
②
ソフトウェアのアップデート
OSやソフトウェアは,アップデートを行い,常に最新バージョンで使用する。
Ⅴ USBメモリの使用ルール
1
USBメモリの使用制限
個人情報や機密情報を含むか含まないかに関係なく,板橋病院で行う業務(診療・
研究・教育・診療支援・事務処理など)において,以下の目的以外に「USBメモリ」を
使用することはできない。
他のパソコンへデータを移動またはコピーする際,インターネット環境がな
く「Googleドライブ」を使用することができない場合。
オーダリングシステムの部門システムからデータを抽出し,他のパソコンで
データ分析や統計処理を行う場合。
なお,この場合でも,部署で購入したものや個人のものを使用することはできない
ため,USBメモリが必要な場合は,医療情報課から病院指定のものを借用して使用する。
- 3 -