医療経済研究機構
情報セキュリティ基本方針

医療経済研究機構は、（１）医療経済及び医療・介護制度に関する調査研究、（２）医療経済、医療・介護政策等に関する研究会及びシンポジウムの開催、（３）医療経済関連情報の収集・集積・情報提供等の普及啓発及び基盤整備に関する事業、（４）医療経済及び医療・介護政策分野に関する研究者の育成、研究助成を行っている。

これらの事業の実施に当たって収集・集積する情報の機密性を高い水準で保持することは、最も重要な責務の一つである。特に、医療・介護に関しては匿名化措置を講じたとしても疾病状況等から個人の特定可能性が高い等機密性をより高い水準で保持しなければならない。また、事業は、ステークホルダーと社会一般からの信頼に応えることにより成り立っていることを職員全員が理解しなければならない。

これらの医療経済研究機構（医療・介護に関する個人情報を取り扱う研究関連部門（研究総務部、研究部及び政策推進部）に限る。以下「機構」という。）に課せられた責任を果たすために、情報セキュリティマネジメントシステムを確立し、対象者全員が情報セキュリティポリシーに基づいて事業を遂行するとともに、医療経済研究・社会保険福祉協会（以下「協会」という。）の執行部は必要な資源を用意し、実施状況をレビューし、継続的に改善に取り組むこととし、以下の目標及び方針を定める。

（目標）

• 機構は、情報の機密性を保持し、情報の漏えい等を発生させないものとする。
• 機構は、情報資産の完全性を保持し、不正侵入、破壊等を発生させないものとする。
• 機構は、情報資産の可用性を維持し、事故、災害等によるサービス停止を防止する。

（方針）

1. 情報セキュリティ活動を推進し、改善するために協会の執行部が参加する組織を確立する。また、情報の管理に対する役割と責任を定め、情報セキュリティマネジメントシステムの運用に万全を期す。
2. 機構の職員は、本方針及び関連する法令、規則、契約上の義務を遵守し、責任ある行動をとる。
3. リスクを評価する基準を定め、情報資産のリスクを明らかにし、リスク対応計画を実施する。
4. 情報を守り事業を継続するために、情報処理設備を事故・災害及び外部の妨害から厳重に保護する。
5. 情報セキュリティマネジメントシステムは定期的に見直しを行い、その有効性を評価し、必要に応じて改善を行う。また、定められた規則に適合していることを明確にするために、定期的に内部監査を実施する。
6. 機構の提供するサービスに事故や災害等が発生した場合の緊急時の対策を定め、遅滞なく情報セキュリティマネジメントを継続するための措置を講ずる。
7. 適用範囲の情報資産に関わるすべての職員等に対し、事業実施に必要な力量を持つための教育と情報セキュリティについての方針、関係する規則、手順について教育及び訓練を実施する。

平成25年7月24日制定／令和5年2月1日最終改定
一般財団法人
医療経済研究・社会保険福祉協会
理事長 　辻 哲夫

ISO/IEC 27001:2013 ／ JIS Q 27001:2014 認証取得概要

認証登録範囲

・医療経済及び医療・介護制度に関する調査研究
・医療経済、医療・介護政策に関する研究会及びシンポジウムの開催
・医療経済関連情報の収集・集積・情報提供による普及啓発及び基盤整備に関する事業
2023年2月1日付適用宣言書第2.3版

認証取得番号

IS 604468

認証登録日

2014年1月6日

有効期限日

2025年10月31日