○外部記憶媒体の取扱いに関する規程
令和2年6月1日
南和広域医療企業団管理規程第24号
(目的)
第1条 この規程は、南和広域医療企業団個人情報保護条例施行規則(平成28年規則第1号)(以下「施行規則」という。)第14条の規定に基づき電子計算機を利用する場合に使用する外部記憶媒体の取扱いに関し必要な事項を定め、情報漏えい及びコンピュータウイルス感染等の発生を防止することを目的とする。
(用語の定義)
第2条 この規程において次の各号に掲げる用語は、次に定めるところによる。
(1) 「外部記憶媒体」とは、電子計算機又はその周辺機器に情報を保存することができる媒体又は機器のうち、可搬型のものをいう。但し、法令・例規に基づく事務により外部機関及び個人に外部記憶媒体ごとデータを提供する場合に使用する媒体は除く。
(2) 「個人情報」とは、個人が特定できる情報又は機密性、完全性、可用性が損なわれることによって企業団全体の業務執行に重大な影響を与える情報をいう。
(3) 「セキュリティ管理者」は、副企業長(管理担当)をもってこれに充てる。
(4) 「情報セキュリティ担当者」は各所属の長をもって充て、セキュリティ管理者がこれを指名する。
(使用範囲)
第3条 次の各号に定める場合を除き、企業団の端末装置及びネットワークに外部記憶媒体を接続することを禁止する。
(1) セキュリティ管理者が所属部署の所在する建物以外に情報を持ち出す必要があると認めた場合
(2) 企業団が設置したネットワークで交換が出来ない別々の端末間で情報を交換する場合
(3) 外部機関に対して必要な情報を提出する場合
(4) 企業団内において共有ネットワークフォルダを利用することが困難であると認められる場合
(5) その他特に必要と認められる場合
(セキュリティ管理者の責務)
第4条 セキュリティ管理者は、企業団における情報セキュリティを監理し、企業団が使用する外部記憶媒体の管理・運用を行うとともに管理・運用実施手順の維持・改善を行う。
(情報セキュリティ担当者の責務)
第5条 情報セキュリティ担当者は、外部記憶媒体の取扱いに関して事故の発生を防止するとともに、万一事故が生じた場合に迅速かつ適切な対応を図ることができるよう、自ら関連するすべての法令等を厳守し、所属の職員に対しては周知徹底させなければならない。
(職員の責務)
第6条 職員は、関連するすべての法令等を厳守し、常日頃からその取扱いに注意するとともに、情報セキュリティの保持に努めなければならない。
(外部記憶媒体の貸与)
第7条 業務上外部記憶媒体の使用が必要不可欠の場合、情報セキュリティ担当者は外部記憶媒体貸与申請書(様式第1号)により、セキュリティ管理者に対し貸与申請を行う。
2 セキュリティ管理者は業務に必要不可欠と認めた場合に限り、必要最小限度の外部記憶媒体を情報セキュリティ担当者に対し貸与するものとする。
3 前項の規定によりセキュリティ管理者が貸与する外部記憶媒体のうちUSBメモリはセキュリティ機能付のものでなければならない。
(適正な管理)
第8条 前条に基づき貸与された外部記憶媒体に保存されている情報の管理は情報セキュリティ担当者が行うものとする。
2 情報セキュリティ担当者は、外部記憶媒体管理台帳(様式第2号)(以下「管理台帳」という。)により外部記憶媒体を適正に管理するものとする。
3 情報セキュリティ担当者は、前項により調製した管理台帳の写しを毎事業年度の経過後30日以内にセキュリティ管理者に提出し、管理状況の報告をしなければならない。
4 情報セキュリティ担当者は、常に貸与された外部記憶媒体の所在を把握しておかなければならない。
5 職員及び情報セキュリティ担当者は、外部記憶媒体を施錠可能な場所に保管し、かつ適正な管理を行い、紛失及び盗難がないよう必要な措置を講じなければならない。
6 セキュリティ担当者より外部記憶媒体の使用を認められた職員は、使用中の期間内、日1回セルフチェックリスト(様式第3号)に基づき使用状況の確認を行うとともに同一所属内の他職員にチェック内容の確認を求めなければならない。
(外部への持ち出し使用)
第9条 企業団の建物外に個人情報及び第7条に基づき貸与された外部記憶媒体を持ち出す必要が生じた場合、職員は当該外部記憶媒体に個人情報が含まれていない場合及び当該個人情報の持ち出しが法令・例規に基づくものである場合には情報セキュリティ担当者の許可を、それ以外の場合にはセキュリティ管理者の許可を得なければならない。
2 情報セキュリティ担当者は、当該持ち出しが前項の要件に適合し、かつ必要不可欠と判断した場合、情報漏えい事故、盗難、紛失、コンピュータウイルス感染等対策の指示とともに許可を与えることができる。
5 持ち出し使用の目的が達せられたとき、職員は情報セキュリティ担当者の確認を受けなければならない。
6 情報セキュリティ担当者は、前項により調製した持出管理台帳の写しを毎事業年度の経過後30日以内にセキュリティ管理者に提出し報告をしなければならない。
2 セキュリティ管理者は、前項の規定により申請を受けた場合、申請の内容を精査し必要不可欠と判断した場合に限り情報セキュリティ担当者に許可を与えることができる。
3 前項の規定により許可を受けた場合、情報セキュリティ担当者は電子データの使用前にコンピュータウイルスチェックを実施しなければならない。
(外部機関等からの外部記憶媒体の持ち込み)
第11条 情報セキュリティ担当者は、外部機関等から提供された外部記憶媒体の使用が必要不可欠な場合には、セキュリティ管理者に外部機関等提供外部記憶媒体利用申請書(様式第7号)を提出して、許可を得なければならない。
2 セキュリティ管理者は、前項の規定により申請を受けた場合、申請の内容を精査し必要不可欠と判断した場合に限り情報セキュリティ担当者に許可を与えることができる。
3 前項の規定により許可を得た場合、情報セキュリティ担当者は外部記憶媒体の使用前にコンピュータウイルスチェックを実施しなければならない。
(外部記憶媒体の返却)
第12条 情報セキュリティ担当者は外部記憶媒体が必要なくなった場合、保存されているデータに復元不可能な措置を行い、セキュリティ管理者に返却しなければならない。
(事故発生時の報告)
第13条 外部記憶媒体の紛失・盗難、データの流出等、情報セキュリティ事故が発生した場合及び発生が疑われる場合、職員及び情報セキュリティ担当者は速やかに外部記憶媒体事故報告書(様式第8号)によりセキュリティ管理者に報告しなければならない。
(その他)
第14条 本規程に定めるもののほか、必要な事項は別に定める。
附則
本規程は令和2年6月1日から施行する。