- [運営についての重要事項に関する規定の概要]
- (最終更新日 2018年5月1日)
- {機関情報}
-
機関名 有限会社 エイコーウェル 所在地 811-3425
福岡県宗像市日の里1-11-10電話番号 アクアドーム
0940-37-1377
0940-36-7655FAX番号 アクアドーム
0940-37-1305保健指導機関番号 4020800142 窓口となるメールアドレス eiko-well@leaf.ocn.ne.jp ホームページ http://eiko-well.sakura.ne.jp/ 経営主体 有限会社 エイコーウエル 開設者名 坂本義道 管理者名 坂本義道 保健指導業務の総括者名 江副千代子 第三者評価 □実施(実施期間: )■未実施 認定取得年月日 契約取りまとめ機関 所属組織名
- {協力業者情報}
-
協力業者の有無(積極的支援) ■すべて自前で実施 □支援形態・地域等で部分委託 協力業者名・委託部分 - {スタッフ情報PDF}
- {保健指導の実施体制PDF}
- {施設及び設備情報}
-
利用者に対するプライバシーの保護 ■有 □無 個人情報保護に関する規定類 ■有 □無 受動喫煙対策 □敷地内禁煙 ■施設内禁煙 □完全分煙 □なし 指導結果の保存や提出における標準的な電子様式の仕様 ■有 □無 - {運営に関する情報PDF}
- {その他}
-
提出時点の前年度の特定保健指導の実施件数 動機付け
積極的年間 0人
年間 0人1日当たり 0人
1日当たり 0人実施可能な特定保健の件数 動機付け
積極的年間 30人
年間 30人1日当たり人
1日当たり 人提出時点の前年度の参加率・脱落率 動機付け
積極的参加率 %
参加率 %脱落率 %
脱落率 %特定健康診査の実施 □有 ■無 - {ガイドライン尊守チェックリスト}
(最終更新日 平成21年5月11日)
(組織的安全管理対策) -
No チェック項目 1 情報システム運用責任者の設置及び担当者
(システム管理者を含む)の限定を行っている
実施済 ■ 実施予定(実施時期)□( )2 個人情報が参照可能な場所においては、
来訪者の記録・識別、入退を制限する等の入退管理を定めている
実施済 ■ 実施予定(実施時期)□( )3 情報システムへのアクセス制限、記録、点検等を含めた
アクセス管理規定を作成している
実施済 ■ 実施予定(実施時期)□( )4 個人情報の取扱を委託する場合、委託契約において
安全管理に関する条項を含めている
実施済 ■ 実施予定(実施時期)□( )5 運用管理規定等において次の内容を定めている
(a)個人情報の記録媒体の管理(保管・授受等)の方法
(b)リスクに対する予防、発生時の対応の方法
実施済 ■ 実施予定(実施時期)□( ) - (物理的安全管理対策)
-
No チェック項目 1 個人情報が保存されている機器の設置場所及び
記録媒体の保存場所には施錠している
実施済 □
実施予定(実施時期) □( )2 個人情報を入力、参照できる端末が設置されている区画は、
業務時間帯以外は施錠等、権限者以外立ち入ることが
実施済 □
実施予定(実施時期) □( )3 個人情報の物理的保存を行っている区画への入退管理を実施している
実施済 □
実施予定(実施時期) □( )4 入退者には名札等の着用を義務付け、
台帳等に記入することによって入退場の事実を記録している
実施済 □
実施予定(実施時期) □( )5 入退者の記録を定期的にチェックし、妥当性を確認している
実施済 □
実施予定(実施時期) □( )6 個人情報が存在するPC等の重要な機器に
盗難防止用チェーンを設置している
実施済 □
実施予定(実施時期) □( )7 離席等にも端末等での正当な権限者以外の者による
窃視防止の対策を実施している
実施済 □
実施予定(実施時期) □( ) - (技術的安全管理対策)
-
No チェック項目 1 情報システムへのアクセスにおける利用者の識別と認証を行っている
実施済 □
実施予定(実施時期) □( )2 動作確認等で個人情報を含むデータを使用するときは、
漏洩等に十分留意している
実施済 □
実施予定(実施時期) □( )3 関係職種ごとに、アクセスできる情報の範囲を定め、
そのレベルに沿ったアクセス管理を行っている
実施済 □
実施予定(実施時期) □( )4 アクセスの記録及び定期的なログを確認している
実施済 □
実施予定(実施時期) □( )5 アクセス記録に用いる時刻情報は信頼できるものである
実施済 □
実施予定(実施時期) □( )6 システム構築時や、適切に管理されていないメディアを使用したり、
外部からの情報を受け取る際にはウイルス等の
不正なソフトウエアの混入がないか確認している
実施済 □
実施予定(実施時期) □( )7 システム内のパスワードファイルではパスワードは必ず
暗号化(不可逆)され、適切な手法で管理及び運営が行われている
実施済 □
実施予定(実施時期) □( )8 利用者がパスワードを忘れたり、盗用される恐れがある場合で、
システム管理者がパスワードを変更する場合には、
利用者の本人確認を行い、どのような手法で本人確認を行ったのかを
台帳に記載(本人確認を行った書類等のコピーを添付)し、
本人以外が知りえない方法で再登録を実施している。
実施済 □
実施予定(実施時期) □( )9 システム管理者であっても、利用者のパスワードを推定できる手段を 防止している。
実施済 □
実施予定(実施時期) □( )
- (人的安全管理対策・従業者に対する人的安全管理措置)
-
チェック項目 1 法令上の守秘義務のある者以外を事務職員等として採用するにあたっては、雇用及び契約時に守秘・非開示契約を締結すること等により安全管理を行っている。
実施済 □
実施予定(実施時期) □( )2 定期的に従業者に対し教育訓練を行っている。
実施済 □
実施予定(実施時期) □( )3 従業者の退職後の個人情報保護規程を定めている。
実施済 □
実施予定(実施時期) □( ) - (人的安全管理対策・事務取扱委託業者の監督及び守秘義務契約)
-
チェック項目 1 外部受託業者を採用する場合は、包括的な委託先の罰則を定めた就業規則等で裏づけられた守秘契約を締結している。
実施済 □
実施予定(実施時期) □( )2 外部受託業者を採用する場合で、保守作業等の情報システムに直接アクセスする作業の際には、作業者・作業内容・作業結果の確認を行っている。
実施済 □
実施予定(実施時期) □( )3 外部受託業者を採用する場合は、清掃等の直接医療情報システムにアクセスしない作業の場合においても、作業後の定期的なチェックを行っている。
実施済 □
実施予定(実施時期) □( )4 委託先事業者が再委託を行うか否かを明確にし、再委託を行う場合は委託先と同等の個人情報保護に関する対策及び契約がなされていることを条件としている。
実施済 □
実施予定(実施時期) □( ) - (情報の破棄)
-
チェック項目 1 情報種別ごとに破棄の手順を定めている。
実施済 □
実施予定(実施時期) □( )2 報処理機器自体を破棄する場合、必ず専門的な知識を有するものが行うこととし、残存し、読み出し可能な情報がないことを確認している。
実施済 □
実施予定(実施時期) □( )3 破棄を外部事業者に委託した場合は、委託元の医療機関等が確実に情報の破棄が行なわれたことを確認している。
実施済 □
実施予定(実施時期) □( )4 運用管理規程において不要になった個人情報を含む媒体の廃棄を定める規程の作成を定めている。
実施済 □
実施予定(実施時期) □( )
- (情報システムの改造と保守)
- 説明項目1が入ります。
チェック項目 1 動作確認で個人情報を含むデータを使用するときは、
明確な守秘義務の設定を行うともに、
終了後は確実にデータを消去する等の処理を行うことを求めている。
実施済 □
実施予定(実施時期) □( )2 メンテナンスを実施するためにサーバに保守会社の作業員がアクセスする際には、
保守要員個人の専用アカウントを使用し、個人情報へのアクセスの有無、
およびアクセスした場合は対象個人情報を含む作業記録を残している。
実施済 □
実施予定(実施時期) □( )3 保守要員個人の専用アカウントは外部流出等による不正使用の防止の観点から
適切に管理することを求めている。
実施済 □
実施予定(実施時期) □( )4 保守要員の離職や担当変え等に対して速やかに保守用アカウント削除できるよう、保守会社からの報告を義務付けまた、それに応じるアカウント管理体制を整えている。
実施済 □
実施予定(実施時期) □( )5 保守会社がメンテナンスを実施する際には、日単位に作業申請の事前提出することを求め、終了時の速やかな作業報告書の提出を求めること。それらの書類は医療機関等の責任者が逐一承認している。
実施済 □
実施予定(実施時期) □( )6 保守会社と守秘義務契約を締結し、これを遵守させている。
実施済 □
実施予定(実施時期) □( )7 保守会社が個人情報を含むデータを組織外に持ち出すことは避けるべきであるが、やむ得ない状況で組織外に持ち出さなければならない場合には、置き忘れ等に対する十分な対策を含む取扱いについて運用管理規程を定めることを求め、医療機関等の責任者が逐一承認している。
実施済 □
実施予定(実施時期) □( )8 リモートメンテナンスによるシステムの改造や保守が行なわれる場合には、必ずメッセージログを採取し、当該作業の終了後速やかにメッセージログの内容を医療機関等の責任者が確認している。
実施済 □
実施予定(実施時期) □( )9 再委託が行なわれる場合は再委託先にも保守会社と同等の義務を課している。
実施済 □
実施予定(実施時期) □( ) - (災害時の非常時の対応)
- 説明項目2が入ります。
チェック項目 1 医療サービスを提供し続けるためのBCPの一環として非常時と判断する仕組み、正常復帰時の手順を設けている。
実施済 □
実施予定(実施時期) □( )2 正常復帰後に、代替手段で運用した間のデータ整合性を図る規約を用意している。
実施済 □
実施予定(実施時期) □( )3 非常時のユーザアカウントや非常時用機能の管理手順を整備してを用意している。
実施済 □
実施予定(実施時期) □( )4 非常時機能が定常時に不適切に利用されることがないようにし、もし使用された場合には使用されたことが多くの人にわかるようにする等、適切に管理および監査を行っている。
実施済 □
実施予定(実施時期) □( )5 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が出来ないように変更している。
実施済 □
実施予定(実施時期) □( )6 サイバー攻撃で広範な地域での一部業務の停止など業務提供体制に支障が発生する場合は、所管官庁への連絡を行っている。
実施済 □
実施予定(実施時期) □( ) - (外部と個人情報を含む医療情報を交換する場合の安全管理)
-
チェック項目 1 ネットワーク経路でのメッセージ挿入、ウイルス混入などの改ざんを防止する対策、施設間の経路上においてクラッカーによる
パスワード盗聴、本文の盗聴を防止する対策、セッション乗っ取り、IPアドレ ス詐称などのなりすましを防止する対策をとっている。
実施済 □
実施予定(実施時期) □( )2 データ送信元と送信先での、拠点の出入り口・使用機器・使用機器上の機能単位・利用者の必要な単位で、相手の確認(認証)を行っている。
実施済 □
実施予定(実施時期) □( )3 施設内において、正規利用者への成りすまし、許可機器への成りすましを防ぐ対策をとっている。
実施済 □
実施予定(実施時期) □( )4 ルータなどのネットワーク機器は、安全性が確認できる機器を利用し、施設内のルータを経由して異なる施設間を結ぶVPNの間で
送受信ができないように経路設定されている。
実施済 □
実施予定(実施時期) □( )5 送信元と相手先の当事者間で当該情報そのものに対する暗号化な どのセキュリティ対策を実施している。
実施済 □
実施予定(実施時期) □( )6 通信事業者やシステムインテグレータ、運用委託事業者、遠隔保守を行う機器保守会社などと、次の事項について、
これら関連組織の責任分界点、責任の所在を契約書等で明確にしている。
・診療情報等を含む医療情報を、送信先の医療機関等に送信するタイミングと一連の情報交換に係わる操作を開始する動作の決定
・送信元の医療機関等がネットワークに接続できない場合の対処
・送信先の医療機関等がネットワークに接続できなかった場合の対処
・ネットワークの経路途中が不通または著しい遅延の場合の対処
・送信先の医療機関等が受け取った保存情報を正しく受信できなかった場合の対処
・伝送情報の暗号化に不具合があった場合の対処
・送信元の医療機関等と送信先の医療機関等の認証に不具合が あった場合の対処
・ 障害が起こった場合に障害部位を切り分ける責任
・送信元の医療機関等または送信先の医療機関等が情報交換を中止する場合の対処
実施済 □
実施予定(実施時期) □( )7 医療機関内において次の事項において契約や運用管理規程等で定めている。
・通信機器、暗号化装置、認証装置等の管理責任の明確化。外部事業者へ管理を委託する場合は、
責任分界点も含めた整理と契約の締結。
・患者等に対する説明責任の明確化。
・事故発生時における復旧作業・他施設やベンダとの連絡に当たる専任の管理者の設置。
・交換した医療情報等に対する結果責任の明確化。
・個人情報の取扱いに関して患者から照会等があった場合の送信元、送信先双方の医療機関等への連絡に関する事項、またその場合の個人情報の取扱いに関する秘密事項。
実施済 □
実施予定(実施時期) □( )8 リモートメンテナンスを実施する場合は、必要に応じて適切なアクセスポイントの設定、プロトコルの限定、
アクセス権限管理等を行って不必要なログインを防止している。
実施済 □
実施予定(実施時期) □( )9 回線事業者やオンラインサービス提供事業者と契約を締結する際には、脅威に対する管理責任の範囲や回線の可用性等の品質に関して
問題がないか確認している。
実施済 □
実施予定(実施時期) □( )