当法人は、医療に関わる事業者として、患者さま・お取引先・職員の個人情報および業務情報を適切に保護するため、以下を基本方針とします。

1.関係法令、厚生労働省ガイドライン、IPA等の公的指針を遵守します。
2.情報資産への不正アクセス、漏えい、改ざん、滅失・き損を防止するため、組織的・人的・物理的・技術的の各側面から多層的な
   安全管理措置を講じます。
3.万一インシデントが発生した場合に備え、迅速な対応と再発防止の体制を整備します。
4.対策状況を定期的に点検・見直し、継続的に改善します。

当法人では、医療現場の安全と効率化に資する以下のシステムを開発し、提供・販売を進めています。いずれも企画・設計の段階からセキュリティを組み込む考え方（セキュリティ・バイ・デザイン）に基づき、患者さま情報を安全に取り扱える仕組みを実装しています。
 これらのシステムでは、クロスサイト・スクリプティング（XSS）対策、クロスサイト・リクエスト・フォージェリ（CSRF）対策、コンテンツ・セキュリティ・ポリシー（CSP）の導入など、IPA「安全なウェブサイトの作り方」に準拠した多層防御を実装しています。また、運用は院内ネットワーク内に限定し、個人情報は原則マスキングしたうえで、インターネットを通じた外部との不要な通信は行いません。

当法人が提供する「お助け！医事課長」BPOサービスでは、患者診療費の未収金管理やレセプト請求業務などを通じて、膨大な個人情報をお預かりします。これらの情報については、特に厳格な管理体制のもとで取り扱います。

●アクセス権限を業務上必要な担当者に限定し、操作履歴を記録・管理します。
●情報は、セキュリティ対策を施した通信経路および認証機能を有する安全な機器・媒体を通じてのみ授受します。
●業務に従事する全職員と秘密保持の取り決めを行い、守秘義務を徹底します。
●不要となった情報は、定められた手順に従って安全に廃棄します。

当法人の対策は、以下の公的指針に準拠して実装・運用しています。

・厚生労働省「医療情報システムの安全管理に関するガイドライン（第6.0版・令和5年5月）」　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
・IPA「SECURITY ACTION」　　　　　　　　　　　　　　 https://www.ipa.go.jp/security/security-action/index.html

・IPA「安全なウェブサイトの作り方 1.5 クロスサイト・スクリプティング」　
                                                             https://www.ipa.go.jp/security/vuln/websecurity/cross-site-scripting.html

・IPA「安全なウェブサイトの作り方 1.6 CSRF（クロスサイト・リクエスト・フォージェリ）」　
                                                                                https://www.ipa.go.jp/security/vuln/websecurity/csrf.html