YaDocサービス仕様適合開示書
株式会社インテグリティ・ヘルスケア
(1) 組織的安全管理対策
① 組織的取組における基本方針
(a) 情報セキュリティに関する組織体制
(b) 個人情報保護指針、プライバシーポリシー等について
(c) 個人情報保護法及び個人情報保護委員会が定めるガイドライン等の遵守状況
(d) 情報セキュリティに関する基本方針、運用管理規程等の情報セキュリティポリシーの策定状況
② サービス提供に係る体制および、再委託先
③ 運用管理規程
④ 情報の管理状況に関する資料の提供について
⑤ 受託する情報に係るリスク分析の結果と対応措置
(a) サービスに係るリスク分析の概要
(b) サービスに係る脆弱性について、お客様側において対応していただく措置
(c) セキュリティ上の事故が生じた際の対応
⑥ 自社で定める機器の管理等の運用
⑦ 個人情報を記録した媒体の運用
⑧ 患者等への説明および同意を得る方法
⑨ 自社において実施するシステム監査等の状況、監査記録等の開示等の範囲、条件等
⑩ 医療機関等の管理者側からの問合せ窓口における受付の時間帯等
(2) 物理的安全対策
① 本サービスの提供に供する機器等が格納されている環境
② ①に示す施設における災害対策の状況
③ 入退管理に関する状況
④ その他クラウドサービス医療ガイドラインで定める物理的対策の実施状況
⑤ 物理的対策実施上、お客様に実施していただく対応
(3) 技術的安全管理対策
① 本サービスに関する情報の区分設定及び管理
(a) 本サービスに関する情報の区分設定
(b) 本サービスに関する情報の管理
(c) 情報の管理
② アクセス制御等
(a) お客様の利用時における 対応可能な認証方法
(b) 一時的な認証に関する取扱い
(c) お客様が利用する認証情報に対する管理
(d) 認証情報管理上のお客様に実施していただく対応
(e) 本サービスをご利用いただく利用者のアクセス権限の設定に関する対応状況
(f) 権限設定に関してお客様に実施していただく対応
(g) e-文書法の対象となる情報を含む文書等の作成を目的とするサービス
(h) 本サービス提供に従事する運用・開発担当者(管理責任者含む)におけるアクセス制御に関する対応
③ アクセス記録に関する機能
(a) アクセス記録の取得
(b) アクセス記録の保存期間
(c) アクセス記録の提供
④ 情報漏洩対策への対応
(a) マルウェア等への対応
(b) 外部からの攻撃等への対策
(c) お客様の端末等に表示される情報の情報漏洩対応
(d) 情報漏洩対策に関して、お客様に実施していただく対応
⑤ バックアップ等の対策
(a) バックアップの取得と管理等
(b) 冗長化対応
(c) 毀損したデータの取扱い
⑥ サービス品質
⑦ 機器・ソフトウェア等の品質管理
⑧ お客様が利用する無線LAN・IoT機器に関する免責
(a) 無線LANに関する免責
(b) IoT機器に関する免責
⑨ 本項で定める管理対策に係る資料の提供等について
(4) 人的安全管理対策
① サービス提供に従事する要因が遵守する義務
② サービス提供に従事する要員に対する教育
③ 本項で定める管理対策に係る資料の提供等について
(5) 情報の破棄
① 情報の破棄に関する安全管理対策
② 情報破棄の手順
③ 本項で定める管理対策に係る資料の提供等について
(6) 情報システムの改造と保守
① 情報システムの改造と保守に関する安全管理対策
② 本サービスの提供に際して行う保守業務における技術的対応
③ 本項で定める管理対策に係る資料の提供等について
(7) 情報及び情報機器の持ち出し
① 情報および情報機器の持ち出しに関する運用管理規程
② 情報および情報機器の持ち出しにおける漏洩対策に関する安全策
③ 各利用者の個人所有の端末について
④ 本項で定める管理対策に係る資料の提供等について
(8) 災害等の非常時の対応についての安全管理対策
① 障害に対する対応
(a) 障害に対する対応
(b) 障害時の責任分界点
② 非常時の対応
(a) 非常時の対応に関する運用管理規程
(b) 非常時に用いる利用者アカウント及び非常時用の機能の有効化のための措置
(c) サイバー攻撃等への対応
③ 本項で定める管理対策に係る資料の提供等について
(9) 情報を外部と交換する場合の安全管理対策
① ネットワークに関する安全管理対策
(a) ネットワークに対する安全管理対策
(b) お客様の施設内におけるルータ等の設定に関する免責
(c) お客様の機器の設定に関する免責
②お客様とのネットワークに関連する責任分界
(a) 通信経路に関する責任分界について
(b) 本サービス利用に係る患者等へのセキュリティに関する説明について
(c) 患者等が閲覧する場合の対応について
③ 本項で定める管理対策に係る資料の提供等について
(10) 法令で定められた記名・押印を電子署名で行うことについての安全管理対策
(11) 個人情報の保護
① 受託情報に対する閲覧制限
② 個人情報等の外部保存に関する患者等への説明について
(12) クラウドサービスの利用終了
① 本サービスの提供停止等における対応
② お預かりしている情報の削除等
(13) 本書の改訂
①本書公開、改訂の管理
②サービス仕様適合開示書の改訂の管理
(1) 組織的安全管理対策
① 組織的取組における基本方針
(a) 情報セキュリティに関する組織体制
| 情報セキュリティに関する役職 |
役職及び氏名 |
| 管理責任者 |
取締役 |
|
本サービスに関するシステム管理者 |
プロダクト開発部 部長 |
|
本サービスのシステムに関する運用責任者 |
プロダクト開発部 部長 |
(b) 個人情報保護指針、プライバシーポリシー等について
| 文書名 |
内容の開示の可否 |
|
プライバシーポリシー |
開示可能 |
|
セキュリティポリシー |
開示可能 |
(c) 個人情報保護法及び個人情報保護委員会が定めるガイドライン等の遵守状況
| サービス提供に際して遵守している個人情報に係る法令、ガイドライン・ガイダンス |
|
個人情報の保護に関する法律(平成15年法律第57号) |
|
クラウドサービスにおける情報セキュリティ対策ガイドライン第2版 (総務省平成30年7月) |
|
医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(個人情報保護委員会・厚生労働省 平成29年4月4日) |
|
クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン第1版 (総務省 平成30年7月) |
|
医療情報を受託管理する情報処理事業者向けガイドライン第2版(経済産業省 平成24年10月) |
|
医療情報システムの安全管理に関するガイドライン第5版(厚生労働省 平成29年5月) |
|
オンライン診療の適切な実施に関する指針(厚生労働省 平成30年3月) |
(d) 情報セキュリティに関する基本方針、運用管理規程等の情報セキュリティポリシーの策定状況
|
文書名 |
開示の可否及び開示条件、提供方法 |
|
MSマニュアル |
開示不可 |
|
情報セキュリティハンドブック |
開示不可 |
② サービス提供に係る体制
|
部門 |
役割 |
|
プロダクト開発部 |
本サービスの開発・運用を行う部門 |
|
オンライン診療事業部 |
顧客問い合わせ対応部門 |
③ 運用管理規程
|
文書名 |
開示の有無、および、開示方法 |
|
YaDoc運用管理規程 |
開示不可 |
④ 情報の管理状況に関する資料の提供について
|
文書名 |
開示の有無、および、開示方法 |
|
MSマニュアル |
開示要求に応じ、内容の開示が可能。 |
|
情報セキュリティハンドブック |
開示要求に応じ、内容の開示が可能。 |
⑤ 受託する情報に係るリスク分析の結果と対応措置
(a) サービスに係るリスク分析の概要
|
リスク分析の結果 |
脆弱性に対する対応の概要 |
|
外部からの不正侵入による攻撃、および、情報漏洩リスク |
|
|
サービス開発時による脆弱なコードの記載 |
|
(b) サービスに係る脆弱性について、お客様側において対応していただく措置
|
脆弱性に関する開示情報 |
脆弱性に対する対応の概要 |
|
利用端末のOSやブラウザの利用バージョンに対する脆弱性を対象とした攻撃 |
セキュリティ対策ソフトウェアをインストールしていただくことと、OSやブラウザのアップデートを逐次行っていただく必要があります。 |
(c) セキュリティ上の事故が生じた際の対応
⑥ 自社で定める機器の管理等の運用
|
運用状況に係る資料提供の可否 |
開示する場合の開示方法・条件・範囲 |
| 可能 |
開示要求に応じ、クラウド環境内のネットワーク図を提供可能。 |
⑦ 個人情報を記録した媒体の運用
|
運用状況に係る資料提供の可否 |
開示する場合の開示方法・条件・範囲 |
| 可能 |
開示要求に応じて、使用しているデータベースのソフトウェア名、バージョンを提供可能。 |
⑧ 患者等への説明および同意を得る方法
本サービスを使用するにあたり、患者は登録時に利用規約への同意が必要となります。
⑨ 自社において実施するシステム監査等の状況、監査記録等の開示等の範囲、条件等
|
実施しているシステム監査の種類 |
監査結果の概要に関する開示の可否 |
|
第三者機関によるWEBアプリケーション脆弱性診断 |
開示不可 |
⑩ 医療機関等の管理者側からの問合せ窓口における受付の時間帯等
連絡先(電話) 0570-05-1114
連絡先(メール) ds@yadoc.jp
受付対応時間 10:00〜17:00 (土日祝、当社休業日を除く)
(2) 物理的安全対策
① 本サービスの提供に供する機器等が格納されている環境
|
建物に関する情報 |
内容 |
|
データセンターの所在 |
AWSの東京リージョンのうち複数箇所 |
② ①に示す施設における災害対策の状況
|
災害種別等 |
具体的な対策 |
|
地震への対応 |
AWSデータセンターは、場所を選択する前に、始めに環境評価および地理的評価を実施しております。洪水、異常気象、地震活動などの環境リスクを軽減するためにデータセンターの場所を慎重に選択しています。 |
|
水害への対応 |
AWSデータセンターは、場所を選択する前に、始めに環境評価および地理的評価を実施しております。洪水、異常気象、地震活動などの環境リスクを軽減するためにデータセンターの場所を慎重に選択しています。 |
|
落雷・停電対策 |
AWSデータセンターの電力システムは、完全に冗長性をもち、運用に影響を与えることなく管理が可能となっています。施設内で重要かつ不可欠な負荷に対応するために、電力障害時には無停電電源装置(UPS)がパックアップ電力を供給しています。 |
|
火災対策 |
AWSデータセンターは、自動火災検出システムおよび鎮火システムが設置されています。 |
|
熱対策及び結露対策 |
AWSデータセンターは、環境を制御するとともに、サーバーやその他のハードウェアの適切な運用温度を保ち、過熱を防ぎ、サーバー停止の可能性を減らすためのメカニズムを使用しており、作業員とシステムの両方から温度と湿度を適切なレベルになるよう監視してコントロールしています。 |
③ 入退管理に関する状況
AWSデータセンターにおける入退管理は以下のとおりとなります。
|
データセンターにおける入退管理 |
|
ビデオ監視カメラを設置しています。 |
|
侵入検出システムを設置しています。 |
|
スタッフは2要素認証を最低2回用い、フロアにアクセスします。 |
④ その他クラウドサービス医療ガイドラインで定める物理的対策の実施状況
実施している対応については以下のとおりとなります。
|
対応項目 |
|
機密性の高い情報を端末に保存する際は最小限にとどめ、不要になり次第、直ちに削除します。 |
|
機密性の高い情報を保存する端末には覗き見防止のフィルムを付けております。 |
⑤ 物理的対策実施上、お客様に実施していただく対応
弊社サービスを使用する端末の盗難防止、覗き見防止対策を行っていただくこととしております。
(3) 技術的安全管理対策
① 本サービスに関する情報の区分設定及び管理
(a) 本サービスに関する情報の区分設定
|
分類区分 |
具体的な情報の例 |
|
A 情報 |
社外に流出した場合、お客様に多大な悪影響や被害が想定される情報 |
|
B 情報 |
社外に流出した場合、当社に悪影響や被害が想定される情報 |
|
C 情報 |
社外に流出しても悪影響や被害がない、もしくは公開されている情報 |
(b) 本サービスに関する情報の管理
弊社において実施している対応については以下のとおりとなります。
|
対応項目 |
|
A情報に区分けされている情報は特定の部署のみアクセス可能になるよう管理しています。 |
|
A情報に区分けされている情報はメール等での取扱いを禁止しています。 |
(c) 情報の管理
情報については、クラウドサービス医療ガイドラインに基づき以下のように管理しております。
|
情報の管理 |
弊社サービスのデータベース上で管理し、またバックアップについてもデータセンター上に保管します。 |
② アクセス制御等
(a) お客様の利用時における 対応可能な認証方法
弊社では以下の認証方法に対応しております。
【認証方法:医療従事者】
利用する端末に医療機関ごとのクライアント証明書をインストールし、上記ID・パスワードに加えて二要素認証をしていただきます。
【認証方法:患者】
設定していただいたIDとパスワードを用いてログインしていただきます。
パスワードについては共に英数字記号8桁以上となります。
お客様が利用される認証に関する対応措置として、以下に示す項目を実施しています。
|
対応項目 |
|
お客様の特定のために、各利用者にIDを発行しています。 |
|
医療従事者の場合は医療機関ごとのクライアント証明書を発行し、インストールをしていただいております。 |
(b) 一時的な認証に関する取扱い
一時的な認証に関しては提供しておりません。
(c) お客様が利用する認証情報に対する管理
お客様の認証に用いる情報については、以下に示す項目を実施しています。
|
対応項目 |
|
サービス利用者のパスワードはデータベースに保存時にハッシュ関数を通した上で保存しており、設定者以外知りえない状態にしています。 |
|
サービス利用者がパスワードを失念した場合は以下のパターンにより対応が異なります。 i) 医療機関の管理者の場合 ii) 医療機関の管理者以外の場合 iii) 患者の場合 |
|
サービス利用者のパスワード等の情報が漏洩が生じた場合(不正な第三者による攻撃を含みます)には直ちに当該IDを無効化し、所定の対応を実施します。 |
(d) 認証情報管理上のお客様に実施していただく対応
(e) 本サービスをご利用いただく利用者のアクセス権限の設定に関する対応状況
医療機関等のお客様が利用されるアクセス権限に関する対応措置は以下のとおりです。
|
対応項目 |
|
本サービスにおいて、医療従事者に管理者、医師、スタッフの3種類の権限設定を行うことが可能です。 |
(f) 権限設定に関してお客様に実施していただく対応
アクセス権限の設定に関してはお客様ご自身の責任で設定して頂く必要がございます。
(g) e-文書法の対象となる情報を含む文書等の作成を目的とするサービス
本サービスにおけるe-文書法の対象となる情報を含む文書等の作成における機能の対応状況は以下のとおりです。
|
対応項目 |
|
ID・パスワードとクライアント証明書による認証により権限を持たない者からのアクセスを防止しています。 |
|
作成者の認証、識別する機能があります。 |
(h) 本サービス提供に従事する運用・開発担当者(管理責任者含む)におけるアクセス制御に関する対応
本サービス提供に従事する運用・開発担当者は担当者を一意に特定できるIDを発行し、ID・パスワード、および、TOTPを用いた二要素認証を行い、アクセス制御を実施しております。
その他、本サービス提供に係る運用・開発担当者(管理責任者含む)のアクセス制御に関する対応措置として以下の対応をしております。
|
対応項目 |
|
運用・開発担当者のIDは必要最低限の範囲で発行します。 |
|
運用・開発担当者のパスワードは本人しか知りえない状態に保っております。 |
|
運用・開発担当者のIDやパスワードが漏洩した場合には管理者責任者が同ID・パスワードを無効にする手段を確保しております。 |
|
運用・開発担当者の雇用が終了又は変更となる場合はアカウント削除等の手順を定めています。 |
③ アクセス記録に関する機能
(a) アクセス記録の取得
本サービスで実施しているアクセス記録に関する対策の対応は以下のとおりです。
|
対応項目 |
|
本サービスへのアクセスログを取得、保存しています。 |
|
アクセスログにはアクセスしたID、日時、対象を含みます。 |
|
アクセスログは三ヶ月に一度、運用担当者がレビューを行い、不正なアクセスや攻撃がないか確認しております。 |
|
記録されたアクセスログは運用担当者のみが閲覧可能なようにアクセス制御がなされております。 |
|
アクセスログは指定されたサーバのみが記録可能となるようアクセス制御がなされております。 |
|
アクセスログを記録するサーバの時刻はNTPサービスを利用し、時刻の同期を行っております。 |
(b) アクセス記録の保存期間
アクセス記録の削除は行わず、半永久的に保存しております。
(c) アクセス記録の提供
アクセス記録のお客様への提供は基本的に行っておりません。
但し、情報の漏洩、外部からの攻撃等が発生した場合に調査への対応のため、協議の上、提供する対応を行います。
④ 情報漏洩対策への対応
(a) マルウェア等への対応
本サービスで実施しているマルウェア等への対策として、以下に示す項目を実施しています。
|
対応項目 |
|
本サービスの運用に用いる端末はウィルス対策ソフトをインストールしています。 |
|
本サービスが稼働している端末への影響度を確認の上、最新のセキュリティパッチの適用を行っております。 |
(b) 外部からの攻撃等への対策
本サービスで実施している外部からの攻撃への対策として、以下に示す項目を実施しています。
|
対応項目 |
|
本サービスの可動しているネットワークへのアクセスはサービスの提供に必要なポート以外ブロックしております。 |
(c) お客様の端末等に表示される情報の情報漏洩対応
本サービスで実施しているお客様の端末等に表示される情報の情報漏洩対策については、以下に示す項目となります。
|
対応項目 |
|
本サービス利用に際し、要望に応じ、強制的にログオフを行える機能を有している。 |
|
セッションに有効期限を設け、長時間の不操作時にはログオフを実施している。 |
(d) 情報漏洩対策に関して、お客様に実施していただく対応
情報漏洩対策として、お客様において実施していただきたい内容は以下となります。
⑤ バックアップ等の対策
(a) バックアップの取得と管理等
本サービスで実施しているバックアップの取得及び管理等については、以下に示すとおりです。
|
対応項目 |
|
定期的にデータベースのバックアップを取得しております。 |
(b) 冗長化対応
本サービスで実施している冗長化対応については、以下に示すとおりです。
|
対応項目 |
|
本サービスのサーバ、データベースなどはそれぞれ2台以上可動させる冗長化をしています。 |
(c) 毀損したデータの取扱い
本サービスの提供に際して、受託したデータの毀損が生じた場合に実施している対応は、以下に示すとおりです。
|
対応項目 |
|
毀損したデータの回復が困難な場合は、毀損したデータに一番近いバックアップから復旧できるようにしております。 |
※データの毀損等に対する免責
サービス提供に際して、受託データが毀損した場合において、本項で定める措置を行ったうえで、なお回復が困難であった場合、弊社の故意・重過失があった場合を除き、免責とさせていただきます。
⑥ サービス品質に係る免責
本サービスの品質に関して、以下の免責事項を設けています。
⑦ 機器・ソフトウェア等の品質管理
本サービスの提供に際して実施しているソフトウェア・機器等の品質管理については、以下に示すとおりです。
|
対応項目 |
|
本サービスにおける機器及びソフトウェア等についての構成に関する文書化を行い、運用・保守が適切に行えるよう管理しております。 |
|
情報を取り扱うシステムにおける機器及びソフトウェア等の品質管理に関する規程、手順などを定めて、実施しております。 |
⑧ お客様が利用する無線LAN・IoT機器に関する免責
(a) 無線LANに関する免責
本サービスを使用する施設において、無線LANを使用している場合に無線LANの装置の稼働やセキュリティ対策については、お客様の責任において対応していただくものとし、これに起因して本サービスの利用に支障が生じた場合には、本サービスのサポート対象外とさせていただきます。
(b) IoT機器に関する免責
本サービスを利用する際にお客様の責任でIoT機器を使用する場合、IoT機器の稼働やセキュリティ対策については、お客様の責任において対応していただくものとし、これに起因して本サービスの利用に支障が生じた場合には、本サービスのサポート対象外とさせていただきます
⑨ 本項で定める管理対策に係る資料の提供等について
「技術的安全管理対策」において示す本サービスの管理対策に関する資料については、原則として本サービスのサポートページで提供するもの、及び各項で定める場合を除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、お客様と必要な条件について合意の上、提供いたします。
(4) 人的安全管理対策
① サービス提供に従事する要因が遵守する義務
本サービスの提供に従事する要員(弊社従業員・派遣従業者・委託先)が遵守する義務等について、以下に示す項目を弊社就業規程・契約等に定めています。
|
対応項目 |
|
要員における弊社個人情報保護指針遵守に関する規定 |
|
要員が業務上の必要により、診療録の個人情報にアクセスする際に知り得た個人情報に関する守秘義務の規定、違反時の罰則等の措置 |
|
クラウドサービス事業者において要員が業務上知り得た個人情報等に関する退職後の守秘義務 |
② サービス提供に従事する要員に対する教育
本サービスの提供に従事する要員(弊社従業員・派遣従業者・委託先)に行う教育について、以下に示している項目を弊社就業規程・契約等に定めています。
|
対応項目 |
|
従業者への個人情報の安全管理に関する定期的な教育・訓練の実施 |
|
入社時、もしくは、契約時の情報セキュリティに関する教育・訓練の実施 |
③ 本項で定める管理対策に係る資料の提供等について
「人的安全管理対策」において示す本サービスの管理対策に関する資料については、原則として本サービスのWEBサイトで提供するもの、及び各項で定める場合を除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、弊社が定める情報開示規程に基づいて、お客様と必要な条件について合意の上、提供いたします。
(5) 情報の破棄
① 情報の破棄に関する安全管理対策
本サービスの提供に関する、情報機器等の破棄等における安全管理対策については以下に示すとおりです。
|
対応項目 |
|
管理する個人情報又はこれを格納する媒体等について、サービス提供上の要否についての定期的な確認。 |
② 情報破棄の手順
本サービスに提供に関して保存した情報、もしくはその媒体に関しては不要と判断したものはデータセンターの削除手順に従い、破棄いたします。
③ 本項で定める管理対策に係る資料の提供等について
「情報の破棄」において示す本サービスの管理対策に関する資料については、原則として本サービスのWEBサイトで提供するもの、及び各項で定める場合を除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、弊社が定める情報開示規程に基づいて、お客様と必要な条件について合意の上、提供いたします。
(6) 情報システムの改造と保守
① 情報システムの改造と保守に関する安全管理対策
本サービスの提供に際して実施する改造と 保守業務における安全管理対策のうち、以下に示している項目について弊社規程等に定めています。
|
対応項目 |
|
リモートメンテナンスの実施手順及びシステム管理者による保守業務実施時のアクセス記録等の確認手順 |
|
リモートメンテナンスにより保守業務を行う場合における、プロトコルの限定、アクセス権限管理等の安全管理措置に関する設定手順等 |
なお、保守業務行う際における個人情報の取扱いについて、以下に示している項目は本サービスで実施しております。
|
対応項目 |
|
システムの動作確認には、原則として受託した個人情報を含むデータを使用せず、テスト用のデータを使用しています。 |
② 本サービスの提供に際して行う保守業務における技術的対応
本サービスの提供に際して行う保守業務における技術的対応について、実施しているのは、以下に示している項目です。
|
対応項目 |
|
マスターテーブルの変更に際しての、影響を与えないレコード管理方法・とるべき措置等についての機能及び検証方法を採用しています。 |
|
サービスの利用に影響がないことを確認した上で、データ形式や転送プロトコルのバージョンアップもしくは変更を実施しています。 その際、既に提供するサービスの利用に影響があると認められる場合の変更等に係るものは告知の後、措置いたします。 |
|
機器・ソフトウェア等の劣化や提供事業者におけるサポート終了等により、サービスの一部又は全部の提供が困難となる場合には、お客様への影響を最小とするための措置をいたします。 |
③ 本項で定める管理対策に係る資料の提供等について
「情報システムの改造と保守」において示す本サービスの管理対策に関する資料については、原則として本サービスのサポートページで提供するもの、及び各項で定める場合を除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、お客様と必要な条件について合意の上、提供いたします。
また本項でお客様に提供する旨を示した技術情報につきましては、お客様と必要な条件について合意の上、提供いたします。
(7) 情報及び情報機器の持ち出し
① 情報および情報機器の持ち出しに関する運用管理規程
本サービスの提供に際して実施する情報および情報機器の持ち出しにおける安全管理対策のうち、以下に示している項目について弊社運用管理規程等に定めています。
|
対応項目 |
|
持ち出しに関する方針 |
|
管理体制及び管理方法 |
|
記録媒体・記録機器の取扱い |
|
本サービスに関する情報(受託情報、システムに関連する情報等)を格納する機器・媒体等の持ち出し (委託元からの持ち出し含む)に関する方針及び規則等(「持ち出し」には、物理的な持ち出しのほか、 ネットワークを通じた外部への送信についても含みます。) |
|
本サービスに関する情報を持ち出し、当該情報を格納する機器・媒体等の盗難・紛失が発生した時の対応(持ち出し時の機器、媒体等の物理的な盗難、紛失のほか、管理者が承認しない外部への送信等 (第三者による悪意の送信、従業者による誤送信等)を含みます。) |
|
外部のネットワークに接続する場合の接続条件、安全管理措置等、接続に係る手順(格納された情報 の漏洩や改ざんが生じないようにするための具体的な措置(マルウェア対策、暗号化等) |
|
情報を取り扱うサービスに関する情報を格納する機器・媒体等についての、台帳管理等の実施、 定期的な所在確認の実施 |
② 情報および情報機器の持ち出しにおける漏洩対策に関する安全策
本サービスの提供に際して実施する持ち出しにおける漏洩対策については、以下に示している項目を実施しています。
|
対応項目 |
|
本サービスに関する情報を格納する機器・媒体等を持ち出す場合、運用管理規程等に従い、機器・媒体自体に暗号化等の措置を実施 |
|
サービス提供に関する業務上、情報を取り扱うサービスに関する情報を格納するモバイル端末を持ち出す場合、弊社が運用管理規程等により、安全性を認めたネットワーク以外の当該端末の接続禁止 |
③ 各利用者の個人所有の端末について
本サービスを、各利用者様が個人で所有する端末で利用する場合(BYOD)、BYODの可否の決定およびその状況に関する管理は、本サービスの対象外でございます。従いまして、各利用者様が個人所有の端末を利用し、これに起因して発生した漏洩事故等に関しては、免責とさせていただきます。
なお、本サービスが利用できる環境につき、仮想化技術を用いた環境での利用に関する情報の提供については、次項「④ 本項で定める管理対策に係る資料の提供等について」に基づいて提供します。
④ 本項で定める管理対策に係る資料の提供等について
「情報および情報機器の持ち出し」において示す本サービスの管理対策に関する資料については、原則として本サービスのサポートページで提供するもの及び各項で定める場合を除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、お客様と必要な条件について合意の上、提供いたします。
また本項でお客様に提供する旨を示した技術情報につきましては、弊社が定める情報開示規程に基づいて、お客様と必要な条件について合意の上、提供いたします。
(8) 災害等の非常時の対応についての安全管理対策
① 障害に対する対応
(a) 障害に対する対応
本サービスの提供に際して、障害対応を速やかに行うための対策として、以下に示している項目を実施しています。
|
対応項目 |
|
サーバ・ストレージ等の稼働監視、障害監視を踏まえた定期的なリスク分析・評価及び劣化等への対策 |
|
アプリケーション、プラットフォーム、サーバ・ストレージ等の監視の実施 |
|
ネットワークの障害を監視し、障害を検知した場合の対応措置 |
(b) 障害時の責任分界点
本サービスのシステム等のトラブルにより生じた障害については、弊社において調査を行い、その原因及び回復状況等に関する情報を、本サービスWEBサイト等において必要と判断した場合、速やかに公表いたします。但し災害等、不可抗力により生じた障害につきまし ては、可及的速やかに調査いたしますが、調査結果の公表の時期については、災害等の沈静化以降に実施することとします。
本サービスのシステム等のトラブル以外で生じた本サービス提供上の障害につきましては、その調査結果及び対応に関しては免責とさせていただきます。
② 非常時の対応
(a) 非常時の対応に関する運用管理規程
非常時における本サービスの提供に際して実施する安全管理対策のうち、以下に示している項目について弊社運用管理規程等に定めています。
|
対応項目 |
|
情報を取り扱うサービスに係るBCP及びコンティンジェンシープランの策定 |
|
サービス回復後のデータ整合性の確保 |
|
非常時に用いる利用者のアカウント発行に関する規定 |
(b) 非常時に用いる利用者アカウント及び非常時用の機能の有効化のための措置
非常時が生じた場合に、セキュリティ確保の観点から、通常利用しているお客様のIDについては、一時的に無効とさせていただき 、代わりに利用できるID及びパスワードについて、お客様の管理者を通じて、ご連絡させて頂くことがあります。その際には、上記「非常時に用いる利用者のアカウント発行に関する規定」に基づいて、非常時における運用をさせていただきます。
(c) サイバー攻撃等への対応
サイバー攻撃等の非常時に対する本サービスの安全管理対策については、以下に示している項目を実施しています。
|
対応項目 |
|
サイバー攻撃により、本サービスの提供が困難、もしくは大きな支障が生じた場合の原因探査に必要なログ等の記録を確保しています。 |
|
本サービスの提供に用いる全てのアプリケーション、プラットフォーム、サーバ・ストレージ等は日本国の法令の執行が及ぶ場所に設置されております。 |
③ 本項で定める管理対策に係る資料の提供等について
「災害等の非常時の対応についての安全管理対策」において示す本サービスの管理対策に関する資料については、原則として本サービスのサポートページで提供するもの、及び各項で定める場合を除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、お客様と必要な条件について 合意の上、提供いたします。
(9) 情報を外部と交換する場合の安全管理対策
① ネットワークに関する安全管理対策
(a) ネットワークに対する安全管理対策
本サービスの提供に用いるネットワーク経路の安全管理対策について、以下に示している項目を実施しています。
|
対応項目 |
|
ネットワークにおける、情報の盗聴、改ざん、誤った経路での通信、破壊等への対抗措置として通信の暗号化の実施 |
|
弊社サーバにおけるなりすまし防止のためのサーバ証明書の導入 |
|
お客様の端末と弊社サーバ間における相互認証の実施 |
|
TLS1.2に対応した暗号化措置 |
|
SSL-VPNの不採用 |
|
本サービスにおいて利用する他社のクラウドサービスの接続においても、本項で規定する対応を行うほか、弊社サーバと他社サーバの接続においても、同水準のセキュリティを確保する。 |
(b) お客様の施設内におけるルータ等の設定に関する免責
お客様が本サービスを利用するネットワークで用いるお客様の施設内のルータについて、これを経由して施設間を結ぶVPNの間で送受信ができないように経路を設定する場合には、お客様の責任で実施していただき、この設定に伴う本サービスの障害等については、免責させていただきます。
なおルータの設定に必要な技術情報は、「③本項で定める管理対策に係る資料の提供等について」に基づいて、提供いたします。
(c) お客様の機器の設定に関する免責
本サービスを仮想デスクトップ等により利用する場合、利用環境に関する管理は、本サービスの対象外でございます。従いまして、お客様が仮想デスクトップ環境を利用し、これに伴い発生した漏洩事故等に関しては、免責とさせていただきます。
なお、本サービスが利用できる環境につき、仮想化技術を用いた環境での利用に関する情報の提供については、「③本項で定める管理対策に係る資料の提供等について」に基づいて、情報提供します。
②お客様とのネットワークに関連する責任分界
(a) 通信経路に関する責任分界について
本サービスの提供に際して利用されるネットワーク対策については、①に定める対策を講じた上で、弊社における責任の範囲については、以下のように定めさせていただきます。
(b) 本サービス利用に係る患者等へのセキュリティに関する説明について
本サービスの利用に係る患者等へのセキュリティに関する説明については、弊社においては必要な資料等の提供等を範囲とした対応とさせていただきます。
なお、情報漏洩等のセキュリティ事故が生じた場合につきましては、別途お客様と協議の上、資料の提供や患者等への説明対応、問合せ対応を実施いたします。
(c) 患者等が閲覧する場合の対応について
本サービスで管理する情報につきましては、お客様の責任の下で、患者等の第三者の閲覧用に供することとさせて頂きます。患者等の第三者の閲覧については 、お客様が管理する環境下での閲覧を想定しており、併せて閲覧に必要な認証情報の管理についても、お客様の管理の下で、閲覧されることを想定しております。
従いまして、本開示書にあるお客様の対応事項を実施して頂いたうえで、患者等への閲覧を行って頂くほか、これにより生じた情報漏洩等に関しましては、お客様との関係で取り決めた責任の範囲で対応させて頂くこととします。
なお患者等が閲覧する場合の本サービスのセキュリティに関する説明につきましては、(b)項に準じて対応いたします。
③ 本項で定める管理対策に係る資料の提供等について
「個人情報を含む情報を外部と交換する場合の安全管理対策」において示す本サービスの管理対策に関する資料については、原則として本サービスのサポートページで提供するもの、及び各項で定める場合を除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、弊社が定める情報開示規程に基づいて、お客様と必要な条件について合意の上、提供いたします。
また本項でお客様に提供する旨を示した技術情報につきましては、お客様と必要な条件について合意の上、提供いたします。
(10) 法令で定められた記名・押印を電子署名で行うことについての安全管理対策
本サービスで作成するデータのうち、電子署名による 記名・押印が法令で定められたものはございません。
(11) 個人情報の保護
① 受託情報に対する閲覧制限
お預かりしている情報の閲覧制限について、以下に示している項目を実施しています。なお閲覧に際しては、弊社規程に基づいて実施します。
|
対応項目 |
|
サービス提供に必要な保守・運用を行う際に、その目的のために必要最小限の範囲を超えた、受託情報の閲覧禁止。
|
|
受託した情報の予期せぬ閲覧を防止するための技術的措置の実施 |
② 個人情報等の外部保存に関する患者等への説明について
お客様の患者に対する本サービスの説明については、原則として本サービスのサポートページで提供するものを除き、提供の対象外とさせていただきます。但し、お客様の申請に基づき、弊社で必要性を認めた場合には、弊社が定める規程に基づいて、お客様と必要な条件について合意の上、提供いたします。
(12) クラウドサービスの利用停止・終了
① 本サービスの提供停止等における対応
本サービスの提供停止による弊社の対応については、以下に示している項目となります。
|
対応項目 |
|
本サービスの提供の変更を含むサービスの一部もしくは全部を停止する場合(軽微なバージョンアップは含まない)に、影響を最小とするための措置の実施 上記において、サービスの提供の一部又は全部が困難となる場合、変更(軽微なバージョンアップは含まない)等の場合の 告知期間:14日以上前から告知 |
② お預かりしている情報の削除等
お客様の本サービスの利用停止が生じた際の、お預かりしている情報の削除等に関する弊社の対応については、以下に示している項目となります。
|
対応項目 |
|
お客様のサービス利用の停止が生じた場合の、受託した情報の、記録の削除、媒体の廃棄等の迅速な実施 |
(13) 本書の改訂
① 本書公開、改訂の管理
本書は、本サービスの利用者に公開するものとします。
見直し後の本書について、本サービスの利用者に周知します。
②サービス仕様適合開示書の改訂の管理
サービス仕様適合開示書の改訂管理は、当社の管理責任者が行います。