Security & Compliance
セキュリティ・コンプライアンス
医療情報を取り扱うシステムとして、最高水準のセキュリティ対策とコンプライアンス対応を実施しています。
3省2ガイドライン対応
厚生労働省「医療情報システムの安全管理に関するガイドライン」第6.0版への対応
組織的安全管理措置
- 情報セキュリティ方針の策定
- 情報セキュリティ管理体制の整備
- インシデント発生時の対応手順の策定
物理的安全管理措置
- 国内データセンターでのデータ保管
- 入退室管理・監視カメラによる物理セキュリティ
- 災害対策(冗長化・バックアップ)
技術的安全管理措置
- 通信暗号化(TLS 1.2以上)
- 保存データの暗号化(AES-256)
- 多要素認証(MFA)対応
- ロールベースアクセス制御(RBAC)
人的安全管理措置
- 従業員への定期的なセキュリティ教育
- 機密保持契約の締結
- アクセス権限の定期レビュー
個人情報保護
個人情報保護法・改正個人情報保護法への対応
- 個人情報の取得・利用・提供に関する明確なポリシーの策定
- 本人同意に基づく個人情報の取り扱い
- 個人情報保護委員会への報告体制の整備(72時間以内)
- 本人からの開示・訂正・削除請求への対応フローの整備
- 個人情報取扱事業者としての安全管理措置の実施
- 委託先に対する監督義務の履行
技術的セキュリティ対策
データ暗号化
通信: TLS 1.2以上
保存: AES-256
鍵管理: AWS KMS等の専用サービス利用
認証・認可
ロールベースアクセス制御(RBAC)
多要素認証(MFA)対応
セッション管理(タイムアウト設定)
監査ログ
全操作の記録(誰が・いつ・何を)
5年間の保存(3省2GL準拠)
改ざん防止措置
データセンター
国内データセンター利用
データの国外持ち出しなし
物理的セキュリティ(入退室管理)
バックアップ
日次バックアップ
7世代保持
RTO: 4時間 / RPO: 1時間
テナント分離
マルチテナント構成でのデータ分離保証
テナント間のアクセス制御
データの論理的分離
インシデント対応
万一の事態に備えた体制を整備
1
検知
異常検知・通報の受付
即時2
初動対応
影響範囲の特定・封じ込め
1時間以内3
報告
お客様・関係機関への報告
72時間以内4
復旧・再発防止
原因分析・再発防止策の実施
速やかに第三者認証
| 認証・規格 | ステータス | 備考 |
|---|---|---|
| ISMS(ISO 27001) | 取得済み | 情報セキュリティマネジメントシステム認証取得 |
| プライバシーマーク | 取得予定 | 取得に向けて準備中 |
| 3省2ガイドライン準拠 | 対応済み | 第6.0版に基づく設計・運用 |