【河北病院】内視鏡マネジメントシステム更新業務

【河北病院】内視鏡マネジメントシステム更新業務 一般競争入札の公告地方自治法(昭和22年法律第67号)第234条第１項の規定により、山形県立河北病院 内視鏡マネジメントシステム更新業務の調達について、一般競争入札を次のとおり行う。令和７年４月１日山形県立河北病院長 佐藤 敏彦１ 入札の場所及び日時(1) 場所 西村山郡河北町谷地字月山堂111番地 山形県立河北病院 外来棟２階会議室(2) 日時 令和７年４月21日(月) 午前11時00分２ 入札に付する事項(1) 調達をする役務の名称及び数量山形県立河北病院 内視鏡マネジメントシステム更新業務 一式(2) 調達をする役務の仕様等 入札説明書及び仕様書による。(3) 契約期間 令和７年５月１日から令和９年３月31日まで(4) 入札方法 総価により行う。落札決定に当たっては、入札書に記載された金額に当該金額の100分の10に相当する金額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てた金額)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。３ 入札参加者の資格次に掲げる要件を全て満たす者であること。(1) 地方自治法施行令(昭和22年政令第16号)第167条の４第１項各号に規定する者に該当しないこと。(2) 令和７年度山形県物品及び特定役務の調達に係る競争入札の参加者の資格等に関する公告(令和7年１月31日付け県公報第574号)により公示された資格を有すること。(3) 山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと。(4) 次のいずれにも該当しないこと(地方自治法施行令第167条の４第１項第３号に規定する者に該当する者を除く。)。イ 役員等(入札参加者が個人である場合にはその者を、入札参加者が法人である場合にはその役員又はその支店若しくは契約を締結する事務所の代表者をいう。以下同じ。)が暴力団員による不当な行為の防止等に関する法律(平成３年法律第77号)第２条第６号に規定する暴力団員(以下「暴力団員」という。)又は暴力団員でなくなった日から５年を経過しない者(以下「暴力団員等」という。)であること。ロ 暴力団(暴力団員による不当な行為の防止等に関する法律第２条第２号に規定する暴力団をいう。以下同じ。)又は暴力団員等が経営に実質的に関与していること。ハ 役員等が自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員等を利用する等していること。ニ 役員等が、暴力団又は暴力団員等に対して資金等を供給し、又は便宜を供与する等直接的あるいは積極的に暴力団の維持及び運営に協力し、又は関与していること。ホ 役員等が暴力団又は暴力団員等と社会的に非難されるべき関係を有していること。４ 契約条項を示す場所、入札説明書及び仕様書の交付場所等並びに契約に関する事務を担当する部局等(1) 契約条項を示す場所及び契約に関する事務を担当する部局等西村山郡河北町谷地字月山堂111番地 山形県立河北病院事務部医事経営相談課医事係電話番号0237(73)3131 内線124(2) 入札説明書及び仕様書の交付場所等 山形県立河北病院事務部医事経営相談課医事係で交付するほか、山形県のホームページ(https://www.pref.yamagata.jp/)からもダウンロードできる。５ 入札保証金及び契約保証金(1) 入札保証金 免除する。(2) 契約保証金 契約金額の100分の10に相当する金額(当該金額に１円未満の端数があるときは、その端数金額を切り上げた金額)以上の額。ただし、規則第135条各号のいずれかに該当する場合は、契約保証金を免除する。６ 入札の無効入札に参加する者に必要な資格のない者のした入札、入札に関する条件に違反した入札その他規則第122条の２の規定に該当する入札は、無効とする。７ 落札者の決定の方法規則第120条第１項の規定により作成された予定価格の範囲内で最低の価格をもって入札(有効な入札に限る。)をした者を落札者とする。８ その他(1) この公告による入札に参加を希望する者は、一般競争入札参加資格確認申請書を令和７年４月11日(金)午後３時までに山形県立河北病院事務部医事経営相談課医事係に提出すること。(2) この契約においては、契約書の作成を必要とする。この場合において、当該契約書には、談合等に係る契約解除及び賠償に関する定め、再委託の禁止に関する定め並びに個人情報の保護に関する定めを設けるものとする。(3) この入札及び契約は、山形県立河北病院の都合により調達手続の停止等があり得る。(4) 当該契約に係る予算が成立しない場合は、この公告は効力を有しない。(5) 詳細については入札説明書による。 入札説明書等配布一覧表調達する役務の名称［ 山形県立河北病院 内視鏡マネジメントシステム更新業務 ]No 名 称 部数等１ 入札説明書 １部２ 仕様書 １部３ 業務委託契約書(書式) １部(注)上記内容について、落丁等がないか確認してください。山形県立河北病院入 札 説 明 書山形県立河北病院 内視鏡マネジメントシステム更新業務の調達に係る入札公告に基づく一般競争入札については、関係法令及び山形県財務規則(昭和39年３月県規則第９号。以下「規則」という。)に定めるもののほか、この入札説明書によるものとする。１ 担当部局契約に関する事務を担当する部局等(以下「契約担当部局」という。)〒999-3511西村山郡河北町谷地字月山堂111番地 山形県立河北病院事務部医事経営相談課医事係電話番号0237-73-3131２ 入札者の参加資格(1)「山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと」とは、入札参加資格審査日(一般競争入札参加資格確認申請書又は競争入札参加資格審査申請書(以下「申請書」という。)の提出期限の日)から開札日までの期間中のいずれの日においても指名停止措置を受けていないことをいう。(2) 公告で指定された期限までに申請書を提出しない者及び入札参加資格が無いと認められた者は、本件入札に参加することができない。３ 入札参加資格及び応札役務仕様書の審査等(1) 本件入札に参加を希望する者は、入札公告の「入札参加者の資格」を有することを証するため、申請書及び添付書類(以下「申請書等」という。)、並びに本件調達役務に係る応札役務仕様書を、公告で指定された提出場所へ提出し、入札参加資格並びに応札役務仕様書の審査を受けなければならない。(2) 提出書類ア 入札参加者の資格に関する書類(ｱ) 競争入札参加資格者名簿(物品及び役務の調達)に登載されている者a 一般競争入札参加資格確認申請書(別紙様式第１号)(ｲ) 競争入札参加資格者名簿(物品及び役務の調達)に登載されていない者a 競争入札参加資格審査申請書提出書(別紙様式第１－１号)b 競争入札参加資格審査申請書及び添付書類(会計局が別に定める物品等競争入札参加資格審査申請要領による。)イ 応札する役務の仕様に関する書類(ｱ) 競争入札に係る応札役務仕様書等審査申請書(別紙様式第２号)(ｲ) 応札役務仕様書本件調達役務の仕様に適合するものとして応札する役務の内容について作成すること。① 調達をする役務の仕様書の内容を網羅していること。② 調達をする役務の実施に必要な人員体制、機材等設備状況を明示していること。③ 調達をする役務に従事する職員の氏名及び必要な資格を有することを明示していること。④ 緊急時の連絡体制を明示していること。(ｳ) 調達する役務に直接従事する職員に必要な資格を有することを証する書類(写し可)(ｴ) 工程表準備、実施及び報告書作成に係る各期間及び納期を明示したもの。(3) 上記(2)の書類を郵送で提出する場合は、書留郵便に限る。(4) 申請書を提出した者は、入札日の前日までに添付書類に関し説明又は協議を求められた場合はこれに応じるものとし、必要な場合には添付書類の追加に応じるものとする。なお、その指示に応じないときは、入札参加資格がないものとみなす。(5) 応札役務仕様書の審査については、当該仕様書が入札公告で示した仕様書に基づき作成され、その内容及び実施体制等が役務の的確な実施に必要な要件を具備しているかを判断するものとし、必要に応じ内容の補正等を指示する場合があり、提出者はこれに応じるものとする。(6) 申請書及び応札役務仕様書の作成及び提出に係る費用は、申請者の負担とする。４ 入札参加資格審査結果及び応札役務仕様書審査結果の通知(1) 入札参加資格及び応札役務仕様書審査結果の審査は、その提出期限の日を基準日として行うものとし、その結果は令和７年４月16日(水)までに通知する。(2) 本件入札への参加は、前項の通知により、入札参加資格を有し、かつ、応札役務仕様書の審査においてその内容等が本件調達役務の実施要件に適合すると認められたものについてのみ行うことができるものとする。５ 仕様書に関する質問等(1) 仕様書に関し質問がある場合は、令和７年４月11日(金)午後３時までに契約担当部局に別紙様式第７号により持参又は電子メールで提出すること。(2) (1)の質問に対する回答は、質問者あて書面により行うとともに、その回答書は、当該回答を行った日の翌日から入札執行の日時までの期間、山形県立河北病院において閲覧に供する。６ 入札の辞退等(1) 入札参加者は、入札書を提出するまでの間は、いつでも入札を辞退することができる。入札を辞退する場合は、書面により行うものとする。この場合は、辞退する役務の名称、入札日、辞退する者の氏名又は名称、辞退する理由を記載した書面に代表者印を押印し、入札を執行する日時までに提出するものとする。(2) 入札参加者が入札執行時刻に遅れた場合は、本件入札を棄権したものとみなす。７ 入札(1) 入札書の様式は、入札書(別紙様式第８号)による。(2) 入札書は入札公告の「入札の場所及び日時」に持参するものとするが、郵送による提出も認める(書留郵便に限る。)。(3) 入札書は封筒に入れて厳封し、表に「氏名又は名称」及び「役務等の名称」を記載すること。(4) 入札書を郵便により提出する場合は二重封筒とし、入札書を中封筒に厳封の上、上記(3)の内容を記載し、表封筒に「入札書在中」と朱書きすること。なお、令和７年４月18日(金)午後５時までに契約担当部局に必着とし、当該日時までに到達しなかった場合は棄権とみなす。(5) 入札者は名刺を提出し、代理人をして入札に関する行為をさせようとする者は、委任状(別紙様式第９号)を作成し提出させること。(6) 入札者又は入札者の代理人は、当該入札に関する他の入札者の代理をすることはできない。また、法人の代表者(支店長等の受任者を含む。)が自ら入札する場合は、当該入札に関して他の入札者となることはできない。(7) 入札価格には、役務の遂行に必要な打合せ等の付随業務に係る旅費、日当、使用料、その他一切の諸経費を含む総額とする。８ 開札入札者又はその代理人は開札に立ち会うものとする。入札者又はその代理人が立ち会わない場合においては、入札事務に関係のない山形県職員を立ち合わせて開札を行う。９ 入札の無効次に掲げる入札は無効とする。(1) 入札公告に示した入札参加資格のない者(入札参加資格があることを確認された者で、開札時において入札公告に示した入札参加資格を満たさなくなった者を含む。 )のした入札(2) 申請書に虚偽の記載をした者のした入札(3) 委任状を持参しない代理人のした入札(4) 入札の公正な執行を妨げ、又は公正な価格の成立を害し、若しくは不正の利益を得るため連合したと認められる入札(5) 同一の事項につき２通以上の入札書を契約担当者に提出した入札(6) 金額、氏名等の入札要件が確認できない入札書、記名押印を欠く入札書又は入札金額を訂正した入札書を契約担当者に提出した入札(7) その他入札に関する条件に違反した入札10 再度入札予定価格の制限の範囲内の価格の入札がないときは、直ちに再度の入札を行う場合がある。再度の入札を辞退するときは、入札書に「辞退」と記載し、提出すること。入札を一度辞退した者は，当該入札案件の再度の入札に参加することはできない。11 落札者の決定方法(1)規則第 120 条第１項の規定により作成された予定価格の範囲内で最低の価格をもって入札(有効な入札に限る。)を行った者を落札者とする。(2) 落札となるべき同価の入札をした者が二人以上あるときは、直ちに当該入札者にくじを引かせて落札者を決定する。この場合において、当該入札者のうち立ち会わない者又はくじを引かない者があるときは、当該入札執行事務に関係のない山形県職員にこれに代わってくじを引かせ落札者を決定する。(3) 落札者の決定の時までに入札参加資格を満たさなくなった者は落札者としない。12 その他(1) 本件入札への参加にあたり、納入場所を確認する必要がある場合は、事前に山形県立河北病院事務部医事経営相談課医事係まで連絡のうえ日時を調整し、当該担当部局の職員立会いのもと確認を行うこととし、また、その期間は入札期日の前日までとする。(2) 申請書に虚偽の記載をした場合においては、山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を行うことがある。(3) 入札参加者の連合、その他の理由により入札を公正に執行することができないと認められるときは、当該入札参加者を入札に参加させず、又は入札の執行を延期し、若しくは取り止めることがある。(4) 入札をした者は、入札後、契約条項又は入札条件等の不明を理由として異議を申立てることができない。(5) 落札者は予約完結権を他に譲渡することができない。(6) 入札者又はその代理人は、即日口頭落札決定通知を受領するための印鑑(入札書に使用する印鑑に限る。ただし、代理人の場合は当該代理人の印鑑とする。)を持参すること。なお、当該印鑑を持参できない場合は、入札執行時の指示により落札決定を通知する。(7) 本件契約の条項は、別に示す契約書(添付様式)による。(8) 契約締結にあたっては、４により通知を受けた応札役務仕様書の内容を変更することはできない。(9) 落札者は、落札決定後、速やかに入札書に記載した入札金額、項目毎の金額及び契約期間における納品時期(支払予定時期)に対応した積算内訳書を提出すること。(10)その他必要とする入札に関する条件については、入札執行時の指示による必要とする入札に関する条件については、入札執行時の指示による。 1山形県立河北病院 内視鏡マネジメントシステム更新業務 仕様書令和７年４月 山形県立河北病院21 基本事項.. 41.1 業務委託の名称.. 41.2 委託期間.. 41.3 納入場所.. 41.4 用語の定義.. 41.5 業務概要.. 41.6 業務スケジュール(想定).. 51.7 留意事項.. 51.7.1 法律・規格への準拠.. 51.7.2 各種ガイドラインへの準拠.. 51.7.3 管理・調整・作業依頼等.. 51.7.4 技術的支援.. 61.7.5 秘密保持(守秘事項).. 61.7.6 疑義の解決.. 61.8 納入成果物.. 61.8.1 共通事項.. 61.8.2 成果物の修正.. 71.8.3 設計・構築に関する成果物.. 71.9 責任の所在.. 71.10 その他.. 71.10.1 使用する言語.. 71.10.2 契約締結後の書類の提出.. 71.10.3 著作権等.. 81.10.4 検収.. 82 基本要件.. 83 ソフトウェア要件.. 93.1 検査受付.. 93.2 検査前準備／検査実施.. 93.3 検索／レポート作成.. 103.4 JED対応.. 103.5 総合医療情報システム連携.. 113.6 その他総合／管理機能.. 114 ハードウェア要件.. 114.1 サーバ.. 124.2 クライアント.. 1235 保守体制.. 126 別紙.. 1341 基本事項1.1 業務委託の名称山形県立河北病院 内視鏡マネジメントシステム更新業務(以下、「本業務」という。)1.2 委託期間契約締結の日から令和９年３月３１日まで1.3 納入場所山形県西村山郡河北町谷地字月山堂１１１ 山形県立河北病院1.4 用語の定義特に指定する場合を除き、本仕様書おいて使用する用語の定義については、以下のとおり定める。 なお、入札公告、入札説明書及び契約書案に定める用語ついては、以下を除き本仕様書においても準用する。また各種法令、ガイドライン及び通知に関しては、随時最新版の内容を適用する。用語 定義病院 山形県立河北病院総合医療情報システム 電子カルテシステム及び電子カルテシステムと直接または間接的に情報連携を行うシステムの総称。医療情報ネットワーク 総合医療情報システムを運用する閉鎖的ネットワーク。部門システムや各種医療機器等も接続される。山形県病院事業局 統合ネットワーク山形県立４病院および県立病院課が共同で、インターネットへの接続口を一つに統合し、統一した管理を可能にするとともに各々の通信に対して高度なセキュリティ監視を行う環境。1.5 業務概要本業務は、当院に構築する内視鏡マネジメントシステムに関する以下の事項とする。これに伴う委託者との協議打ち合わせ等への出席を含む。ただし、以下に記載のない項目でも、本業務を実施するにあたり必要な業務、又はプロジェクトの途中で問題が発生した場合は、委託者と協議の上実施すること。① 構築する内視鏡マネジメントシステムの設計。② 内視鏡マネジメントシステム機器整備。(必要機器の調達、設計、設置、配線、通信試験など)③ 定期的な自動バックアップ環境の構築。④ 既存システムからのデータ移行。⑤ 初期マスタ設定。および病院が行う初期マスタ設定の支援。⑥ 本稼働後の立会いとシステム利用者への操作研修。およびシステム管理者へのマスタメンテナン5ス研修。⑦ 納入成果物の作成。および病院への納品。⑧ ハードウェア及びソフトウェアの保守。⑨ その他付帯する一切の業務。1.6 業務スケジュール(想定)項目 時期または期間契約 令和７年５月システム設計 令和７年9月～令和７年12月機器調達 令和７年9月～令和７年12月システムセットアップ、機器設置、動作テスト 令和８年１月システム入替および立会い 令和８年２月システム保守業務 令和８年２月～令和9年3月1.7 留意事項1.7.1 法律・規格への準拠民法、刑法、著作権法、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律、及び個人情報の保護に関する法律等の関連法規を遵守すること。海外の法律が適用される場合は、事前に説明し了解を得たうえで関連法規を遵守すること。また受託者は、従事者の雇用に当たっては、労働基準法、最低賃金法及び労働安全衛生法等の労働関係法令を遵守すること。1.7.2 各種ガイドラインへの準拠① 「山形県情報セキュリティ対策基準」、並びに「山形県立河北病院医療情報セキュリティポリシー」の最新版に基づき設計・構築を行うこと。② 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1 版」(令和5年7経済産業省)および「医療情報システムの安全管理に関するガイドライン第6.0版」(令和5年5月厚生労働省)等の最新ガイドラインに準拠した設計・構築を行うこと。③ 「ランサムウェアによるサイバー攻撃に関する注意喚起」(2021年４月30日付け内閣サイバーセキュリティセンター重要インフラグループ)に準じてランサムウェア対策を行うこと。参考URL https://www.nisc.go.jp/pdf/policy/infra/ransomware20210430.pdf1.7.3 管理・調整・作業依頼等① 受託者は、作業の方法・工程、進捗状況、及びスケジュールを文書によって説明し、その都度、委託者と協議し承認を得て作業を進めること。6② 設計・構築、導入、及び運用のすべての作業工程にわたり、新規導入する医療情報システムベンダーと密に連携を図り、円滑に作業を実施し、各医療情報システムが稼働する上で、必要な機能を提供すること。③ 構築に必要となる機器の搬入、設置、配線、設定、調整等に要するすべての作業を受託者側で行うこと。④ 特別に許可された場合を除き、ネットワークに外部より持ち込んだ機器を接続すること、及び電話回線等を通じて外部と接続することを禁止する。1.7.4 技術的支援① 構築作業中や運用中に、委託者より技術的な助言を求められた際は、速やかに対応を行うこと。② 機器、及びシステムの仕様に関する質問に対する回答、助言を行うこと。③ 内視鏡マネジメントシステム関連の技術、製品動向等の情報を積極的に提供すること。質問に対する回答、助言を行うこと。また、内視鏡マネジメントシステム関連等の最新技術情報を定期的に提供すること。④ 問題発生時における原因調査、及び解決を行うこと。1.7.5 秘密保持(守秘事項)本業務中、及び業務完了後も、本仕様書から作成するシステムの構成機器に関する技術、知識、及び本業務を履行する上で知り得た病院に係る情報を、第三者に開示、または漏洩しないこと。また、そのために必要な対策を講ずること。なお、受託者は、本業務に関わるすべての作業者にこれを遵守させること。1.7.6 疑義の解決仕様書に記載のない事項、または疑義が生じた場合は、委託者と受託者が協議の上、委託者の指示に従い業務を遂行するものとする。疑義の内容、及び協議・指示事項について、受託者は全て記録に残し、記録の内容について委託者の了承を得るものとする。1.8 納入成果物本業務においての基本的な納入成果物は、以下のとおりとする。ただし、構成・詳細については、受注後、委託者と協議し取り決めること。成果物の納入場所は、委託者が指示する場所とする。1.8.1 共通事項① 受託者は、機器等の納入時に指定の成果物を紙、及び電子データにより、提供すること。② 紙サイズは、日本工業規格Ａ列４番を原則とする。図表については、必要に応じて、Ａ列３番縦書き、横書きを使用することができる。加除が可能なようＡ４バインダーを用い、装丁すること。③ 電磁的記録媒体に保存する形式は、PDF、またはMicrosoft Office2019以降で扱える形式(docx,7xlsx)とする。ただし、委託者が別に形式を定め提出を求めた場合は、この限りではない。④ 紙及び電磁的記録媒体について、各々１部提出すること。1.8.2 成果物の修正成果物に修正等がある場合、紙については更新履歴と修正ページ、電磁的記録媒体については、修正後の全編を速やかに提出すること。1.8.3 設計・構築に関する成果物本業務の対象となるシステムの設計・構築は、本仕様書、提案内容、及び委託者に対する要件確認の結果に基づき、要件定義書を作成した上で、各種設計・構築を開始すること。また、以下のドキュメントを成果物として納入すること。① 要件定義書(委託者の要求事項を整理し、構築要件を定めたドキュメント。 )② 基本設計、及び詳細設計書③ 機器取扱説明書及び委託者向けマニュアル(簡易保守マニュアル、障害時の対応マニュアル含む)④ その他(システム構成図、機器設定表、運用・保守管理に必要な図表。事前に委託者と協議の上、過不足なく作成すること。)1.9 責任の所在① 成果品が本仕様書に適合しないことを委託者が知ったときから、１年以内にその旨を受託者に通知したうえで、受託者の責任と負担において迅速に修理、修復、または交換を行うものとする。② 製造会社からのサポートが確実に受けられる体制を構築すること。1.10 その他1.10.1 使用する言語成果物をはじめとしたすべての提出物、及び会話・文書・メールなどすべてのコミュニケーションには日本語を用いること。ただし、提出物について日本語による提供ができない場合は、委託者の承認を得ること。1.10.2 契約締結後の書類の提出受託者は、落札後２週間以内に、プロジェクトの全体をマネジメントするための基礎的、かつ統合的計画を定め、以下に示す事項が最低限含まれるプロジェクト計画書を委託者に提出し、承認を得ること。なお、プロジェクトの途中段階で、修正、及び見直しが必要となった場合は、変更計画書を速やかに提出し、委託者の承認を得ること。① マスタスケジュール(マイルストーン等)② プロジェクト体制表(分担役割、連絡体制等含む)8③ その他委託者が求める書類1.10.3 著作権等本業務において作成・導入される成果物に関する権利、及び所有権は、病院から受託者に本業務に係る契約金額が完済されたときに、受託者から病院へ移転するものとする。ただし、権利の移転前であっても病院が自由に成果物を利用できるものとする。1.10.4 検収病院において、委託者が受託者立会いの上、テスト後に検収を実施する。ただし、検収後、契約不適合が認められた場合、本業務で構築したシステムの運用期間中は、「1.9 責任の所在」に示すとおり、受託者の責任と負担において、修補を行うこととする。2 基本要件本業務についての基本要件を、以下に示す。① 稼働に向け、内視鏡関連ドクター、スタッフに必要な説明会を実施し、運用整合を図ること。② 電子カルテと連携構築にあたり、公式ベンダー会議への出席、リハーサルに参加すること。③ 電子カルテと連携構築にあたり、必要なベンダー間打ち合わせ、接続試験を実施すること。④ 導入作業においては、導入先診療部門、情報管理部門、事務部門、設備管理部門と適切な整合を持って行うこと。⑤ 稼働時に安定稼働を確認する目的での立会いを行うこと。期間については稼働当日から平日５日間とする。⑥ 接続する内視鏡装置は、既存オリンパス社製内視鏡装置 4台とする。設置場所 装置名称１階 内視鏡室 EVIS X1 ビデオシステムセンター OLYMPUS CV-1500１階 内視鏡室 EVIS LUCERA ELITE ビデオシステムセンター OLYMPUS CV-290１階 透視室 EVIS LUCERA ビデオシステムセンター OLYMPUS CV-260SL２階 泌尿器科外来 VISERA ELITE II ビデオシステムセンター OLYMPUS OTV-S300⑦ 泌尿器科外来では膀胱鏡画像を内視鏡システムサーバへ保存し、レポートは電子カルテの記事として登録する運用を想定している。膀胱鏡画像はビューアソフトまたは Web ブラウザ経由で参照でき、初期表示で膀胱鏡画像のみ一覧表示できること。⑧ 基幹システムとの接続のための費用は接続先システム側の設定作業費を除いて、全て当調達に含むこと。これ以外にも他の連携において、インターフェースの追加や変更など必要な接続があれば接続先システム側の設定作業費を除いて、全て当調達に含めること。⑨ 新システムが既存システムの後継製品となる場合は全データを移行し、新システムから既存システムの全データを参照できる環境を構築すること。機械的に新システムに移行できない情報で、9新システムでも引き続き必要になる情報は受注者で、手入力等で移行すること。必要な費用については事業費に含むこと。⑩ 新システムが既存システムの後継製品でない場合は既存システムから患者属性、検査属性、レポート内容データ、検査画像データを新システムへ移行すること。その際に必要な費用については既存システムからの移行データ出力に要する費用も含めて事業費に含むこと。⑪ ユーザからの要望事項を取り入れ、不定期的に全国の導入医療機関等で共通のシステムバージョンアップの提供があること。バージョンアップに要する費用は保守費用に含まれること。3 ソフトウェア要件ソフトウェアの最低要件を以下に示す。3.1 検査受付① 検査予約、依頼済みの患者リストの表示ができ、内容確認ができること。② 患者到着確認(受付)ができること。③ 到着確認後の患者リストを表示し、リストから患者の選択ができること。④ 検査進捗状況の表示ができること。検査リストに表示する項目を設定可能であること。3.2 検査前準備／検査実施① 内視鏡依頼情報の確認ができること。② 当システム運用後の、過去検査の画像、レポートを参照できること。③ 既存オリンパス社製内視鏡側で患者情報を入力する場合、患者情報は検査画像に紐づいてサーバに送信可能であること。④ 既存オリンパス社製内視鏡の利用において、患者 IDの一次元バーコード、もしくは磁気カード情報を読み込ませることで受信済みの検査オーダと紐づき、オリンパス内視鏡に患者情報が反映可能であること。⑤ 検査画像の圧縮画像をデータとしてサーバへ蓄積できること。画像の圧縮率は非可逆 1/10程度であること。⑥ レリーズ1秒以内に、非可逆1/10程度の画像を生成可能であること。⑦ 既存オリンパス社製内視鏡のハイビジョン画像をデジタルにてサーバに記録可能であること。⑧ １階 内視鏡室は既存オリンパス社製内視鏡から、これから実施する患者の検査オーダの取得が可能であること。取得された患者情報が内視鏡観察画面に表示可能であること。⑨ 検査(画像撮影)を行わなくても、検査終了が可能であること。⑩ サーバとオーダの授受ならびにDICOM形式のファイル送信ができること。⑪ オフライン下での画像取り込みにおいては JPEG、BMP、tiff、png形式の画像を取り込めること。103.3 検索／レポート作成① 検査後のレポート作成がクライアント端末上で行えること。また、検査種別毎に特化したレポート作成機能を有すること。② キー画像の選択ができること。またキー画像には部位の関連付けが可能で、レポートに反映されること。③ レポート入力時、外部システムの画像を取り込めること。 (ただし、外部システムの仕様による)また、外部システムの画像を誤って取り込んだ場合は、取り込んだ画像の削除が可能であること。④ 病変部位、存在診断、質的診断、病理結果等のマスタ化が可能であり、マスタ登録されたデータを選択して入力できること。⑤ レポート用語として内視鏡用語集、癌取り扱い規約、MSTに則った用語が搭載されていること。 上部、下部、ERCP、EUS、小腸、カプセル、呼吸器の診断用語が搭載されていること。⑥ 検査種別毎にレポートレイアウトを持つことが可能であること。⑦ 検査項目毎にシェーマを保有できること。またそのシェーマの部位に対して、任意の検査画像を関連付けできること。⑧ シェーマのレポート添付の選択が可能であること。⑨ 記録画像、およびシェーマへの画像マーキング・自由曲線の描画が可能であること。⑩ 登録されている患者 ID・検査種別・撮影部位別・疾患分類などによる AND、OR検索ができること。⑪ レポートは版管理が可能であり、更新前のデータもバージョン管理し、保存／参照が可能であること。⑫ 登録したレポートは出力可能であること。⑬ 検査後指示、フォローアップ情報が入力可能であること。実施医、期間による検索ができること。⑭ 診療情報提供書の作成、出力が可能であること。⑮ 検査画像、レポート情報、診療情報提供書情報はWEBブラウザ上で参照可能であること。⑯ レポートを表示させながら、レポートの入力が可能であること。⑰ レポート追加情報(検査後指示、合併症、各種コメント)が登録できること。⑱ 該当患者ごとに、申し送り事項等を登録するための注記の記載が可能であること。3.4 JED対応① JED(Japan Endoscopy Database)用語に準拠していること。② JEDのタイプはI、II、IVに対応していること。③ データベースに登録されたレポートデータを日本消化器内視鏡学会 JED プロジェクトが指定する「JEDデータ出力システム」に対応して、連携出力が可能なこと。113.5 総合医療情報システム連携① 電子カルテ／オーダリングシステムから内視鏡検査の依頼情報を取得できること。② 電子カルテ／オーダリングシステムから内視鏡検査の予約情報(検査項目、依頼医師、依頼病名、依頼コメントなど)を取得できること。③ 電子カルテ／オーダリングシステムから患者の基本情報(漢字氏名、カナ氏名、性別、生年月日、住所、連絡先電話番号等)、感染症、アレルギー情報、禁忌薬剤、注意疾患等を取得できること。④ 内視鏡画像を放射線画像システムにDICOMファイルで送信できること。⑤ 内視鏡レポートが作成(登録)された際にレポート URL 情報を電子カルテ／オーダリングシステムに送信できること。⑥ 内視鏡レポートが作成(登録)された際にレポート URL 情報をPACS ビューアシステムに送信できること。⑦ 電子カルテシステムの患者カルテ画面からレポートを参照するためのビューアソフトまたはWebブラウザを起動できること。ビューアソフトまたはWebブラウザは当該患者のレポート一覧を表示した状態で起動できること。3.6 その他総合／管理機能① 予約、検査、レポート作成状態のステータス管理(検査進捗管理)ができること。② 検査一覧表示画面上から、該当患者の過去も含めた検査レポート、検査画像、診療情報提供書等へアクセスすることが可能なこと。③ 電子カルテシステムなどのシステムトラブルに対して、最低限の運用制限で業務が行える仕組みであること。④ 組織に関する情報(診療科の追加・名称変更・統廃合など)、ユーザに関する情報、システム設定に関する情報及び業務時間に関する情報等について、変更が生じてもマスタ設定により画面、帳票の修正が容易に可能なこと。ただし、データの追加などにより画面や帳票のレイアウトが異なる場合や特殊な設定が必要な場合はこの限りでない。⑤ 管理者権限にて各種マスタ、レポート設定、印刷レイアウト変更などが可能であること。そのためのGUI を有すること。⑥ 検査一覧表示画面にて、検査一覧情報を印刷する事が可能なこと。⑦ 月報、年報が作成できること。検査単位、患者単位の集計が可能で、Microsoft Excel 形式での保存が可能であること。4 ハードウェア要件ハードウェアの要件を以下に示す。124.1 サーバ① 仮想サーバ上に構築が可能であること。② リソースを有効活用できるように、仮想基盤構築ベンダーと協力しシステムの調整を行うこと。③ サーバOSは仮想基盤構築ベンダーがインストールする。それ以外の部門システムに必要なアプリケーション(DB含む)は受託者が行うこと。④ タイムサーバから配信される情報に応じて、システムの時刻同期調整を 1 日に 1 回以上自動で行うこと。⑤ 検査データは任意の時間に自動にて、バックアップ作業を行えること。⑥ 通信プロトコルはTCP/IPであること。⑦ 総合医療情報システムとの連携プログラムが搭載され、各種連携が行われること。4.2 クライアント① 別途調達したWindows11 ProのデスクトップPCに相乗りが可能であること。② 相乗り端末の台数は、5台とする。③ デスクトップPCにはMicrosoft Word、Microsoft Excel、日本語入力システムATOK、ウイルス対策ソフトが含まれるため、本調達には含めないこと。④ 日本語入力システムATOKは職員ごとに辞書を持ち、サーバで管理しているため、日本語入力システムの辞書に用語登録する場合は病院が指定する職員の辞書に用語登録すること。5 保守体制保守体制についての基本要件を、以下に示す。① 対象範囲は本調達に含まれるすべてのハードウェア、アプリケーションおよびソフトウェアとする。② サーバ(アプリケーションを含む)については 24時間365日対応し、緊急性あるいは業務に重大な影響を及ぼす危険がある障害に対しては速やかに対応すること。その他の障害は平日９時～18時のオンサイト保守が可能であること。③ 保守費用については、令和9年３月までの保守費用を含むこと。またライセンスが必要なものについては、令和9年３月までのライセンス費用を含むこと。なお、令和 9年４月以降については別途保守契約締結予定のため、提案時に令和9年度から令和13年度までの年度毎の保守費用を明確にすること。④ 遠隔保守については、「山形県病院事業局 統合ネットワーク」をとおして必要時に行えるようにすること。なお、情報セキュリティ上の観点から、原則として常時接続は行わないこと。⑤ 遠隔保守を実施する場合は、緊急対応時を除き事前に委託者の了承を得ることとし、遠隔保守完了後はその内容を直ちに報告すること。また委託者の求めに応じ、目的外利用が無いことを随時証明すること。13⑥ 遠隔保守の実施にあたっては、いかなる場合においても情報漏洩を防止するための厳重な監視及び管理を行うこと。⑦ 遠隔保守を実施する場所は、入退室管理により権限のない者の入室を阻止し、パーテーション等により関係者以外の立ち入りを抑制し、画面ののぞき見、不正ログイン、なりすまし、データ持ち出し等を防止すること。 ⑧ 個人情報を含む紙媒体の出力は原則として行わないこと。やむを得ず出力する場合は、作業終了後にシュレッダー等により確実に廃棄し消去すること。⑨ 万が一、受託者の責による情報漏えいがあった場合には、損害賠償の対象となる。6 別紙① 統合ネットワークイメージ図② 山形県情報セキュリティ対策基準③ 山形県立河北病院医療情報セキュリティポリシー 河北病院様 新庄病院様 こころの医療センター様ベンダー保守集約院外からのカルテ利用クラウドサービス利用IPSEC/VPNURLフィルタリングアプリケーション毎ホワイトリスト統合化＋リモート集約クラウド型統合次世代ファイアウォール勤務管理システム端末及び打刻機看護勤務システムサーバー(FTP)勤務システムサーバーVPN/UTM100F看護勤務システムサーバー(FTP)勤務管理システム端末及び打刻機 看護勤務システムサーバー(FTP)勤務管理システム端末及び打刻機看護勤務システムサーバー(FTP)勤務管理システム端末及び打刻機DWHVPNVマネVPNVマネVPNVマネVPNVマネ山形県立病院課様JBCC運用監視中央病院様部門ベンダーリモートアクセスイメージ図ファイアウォールVPN装置L3サーバースイッチリモート対象サーバーInternet(証明書・暗号化)InternetVPN(暗号化)ルートの追加要否アクセス許可の仕組みの有無を確認願います院内ベンダー※部門サーバーがサーバー室以外にある場合には工事が必要となる場合もございます -1-山形県情報セキュリティ対策基準目次第１章 総則第２章 組織体制第３章 情報資産の分類と管理第４章 情報システム全体の強靭性の向上第５章 物理的セキュリティ第６章 人的セキュリティ第７章 技術的セキュリティ第８章 遵守状況の確認第９章 障害時の対応第10章 業務委託と外部サービスの利用第11章 法令遵守第12章 違反時の対応等第13章 評価・見直し第14章 例外措置第15章 実施手順第16章 委任-2-第１章 総則１．１ 目的山形県情報セキュリティ対策基準(以下「本対策基準」という。)は、山形県情報セキュリティ基本方針(以下「基本方針」という。)に基づき、本県が保有する情報資産を脅威から保護するための情報セキュリティ対策を実施するにあたっての組織体制、管理方法、遵守すべき事項及び判断基準等について基本的な事項を定めることを目的とする。１．２ 用語の定義本対策基準における主な用語の定義は以下のとおりとする。(１)情報セキュリティポリシー基本方針及び本対策基準をいう。(２)情報資産次に掲げるもので、本県が保有又は契約により使用等するものをいう。① 下記(３)から(７)に掲げるもの② ①で取り扱う情報(これらを印刷した帳票及び文書を含む。)③ ①にアクセス又は管理区域へ出入りするために用いるICカード、USBトークン及びこれらに類するもの(以下「ICカード等」という。)④ 情報システムの仕様書、ネットワーク構成図及び開発・保守に関する資料等の文書(３)パソコン等機器パソコン、モバイルノートパソコン、スマートフォン及びタブレット型コンピュータ等の機器並びにこれらに含まれる電磁的記録媒体をいう。(４)サーバ等機器情報を格納しているサーバ及びこれに含まれる電磁的記録媒体並びに通信回線装置等のネットワークを構成する基幹機器をいう。(５)電磁的記録媒体磁気ディスク、光学ディスク、磁気テープ及びフラッシュメモリ記憶装置等(スマートフォン及びタブレット型コンピュータ等の機器に含まれるものを含む。)のデータを記録・保持するための媒体又は装置全体をいう。(６)ネットワークパソコン等機器又はサーバ等機器(以下「パソコン・サーバ等」という。)を相互に利用するための通信回線網及びこれを構成する基幹機器をいう。(７)情報システムパソコン・サーバ等、電磁的記録媒体、ネットワーク、クラウドサービス(インターネット上で利用できるアプリケーション等のサービスをいう。)及びソフトウェアで構成された情報処理又は通信に用いる機器及び仕組みをいう。(８)脅威次に掲げるもの及びこれに類するもので、情報資産に係るものをいう。① 部外者等の無断侵入、窃取、不正アクセス、不正プログラム(不正かつ有害な動作を行う意図で作成された悪意のあるプログラム等をいう。)による攻撃及び標的型攻撃等の意図的要因並びに委託-3-事業者等の過失等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等② 職員等の情報セキュリティポリシーに係る違反行為等の意図的要因並びにプログラム上の欠陥、人為的ミス(誤操作、電子メールの誤送信、紛失等をいう。)及び故障等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等③ 地震、落雷及び火災等の災害並びにサービス不能攻撃等の予期しない大量アクセス等による情報システムの停止等(９)情報セキュリティ情報資産について、次に掲げるものを維持することをいう。① 機密性(Confidentiality)情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。② 完全性(Integrity)情報が破壊、改ざん又は消去されていない状態を確保することをいう。③ 可用性(Availability)情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。(10)情報セキュリティインシデント単独又は一連の脅威のうち、情報セキュリティを脅かす又はその確率が高い事象をいう。(11)職員常勤の職員をいう。(12)職員等職員、非常勤職員をいう。(13)事業継続計画自然災害等の問題発生シナリオに基づいて具体的な作業手順を定め、事業などが停止する時間を可能な限り少なくする目的で作られる管理策や計画をいう。(14) マイナンバー利用事務系(個人番号利用事務系)個人番号利用事務(社会保障、地方税若しくは防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。(15) LGWAN 接続系人事給与、財務会計及び文書管理等LGWAN に接続された情報システム及びその情報システムで取り扱うデータをいう。(16) インターネット接続系インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。(17) 通信経路の分割LGWAN 接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。(18) 無害化通信インターネットメール本文のテキスト化や端末への画面転送等により、コンピューターウィルス等の不正プログラムの付着がない等、安全が確保された通信をいう。-4-１．３ 適用範囲(１)組織の範囲本対策基準が適用される行政機関は、知事部局、教育委員会、議会事務局、選挙管理委員会、人事委員会、監査委員、公安委員会、警察本部、労働委員会、収用委員会、海区漁業調整委員会、内水面漁場管理委員会、企業局及び病院事業局(以下「各部局」という。)とする。(２)情報資産の範囲本対策基準は、各部局が管理する情報資産を対象とする。ただし、第３章以下の規定は、警察本部が管理する情報資産について、及び山形県県立学校教育情報セキュリティ対策基準が対象とする情報資産は、第６章の６．６情報セキュリティインシデントの報告及び対応等を除き適用しない。第２章 組織体制２．１ 組織・管理体制山形県デジタル化推進本部設置要綱により設置された山形県デジタル化推進本部(以下「本部」という。)を情報セキュリティポリシーに関する最高意思決定機関として、本県における情報セキュリティに係る方針を決定し、その維持及び向上を図るとともに、次の体制により情報セキュリティ対策を推進する。(１)最高情報セキュリティ責任者(Chief Information Security Officer、以下「CISO」という。)副知事を、CISOとする。CISOは、次に掲げる権限と責任を有する。① 本県における情報セキュリティ対策全般に関する統括的な権限と責任を有する。② 情報セキュリティを含む情報管理全般に関する専門的な知識及び経験を有する専門家をアドバイザーとして置くことができる。 ③ CISOが不在の場合は、統括情報セキュリティ責任者がその権限を代行する。(２)統括情報セキュリティ責任者みらい企画創造部長を、統括情報セキュリティ責任者とする。統括情報セキュリティ責任者は、次に掲げる権限と責任を有する。① CISOを補佐する。② 情報セキュリティ責任者に対して、情報セキュリティに関する指導及び助言を行う。③ 情報セキュリティインシデント(軽微なものを除く。)が発生した場合は、CISOの指示のもと、必要かつ十分な措置を行う。(３)副統括情報セキュリティ責任者みらい企画創造部次長を、副統括情報セキュリティ責任者とする。副統括情報セキュリティ責任者は、次に掲げる権限と責任を有する。① 統括情報セキュリティ責任者を補佐する。② 情報セキュリティインシデント(軽微なものを除く。)が発生した場合において、CISO及び統括情報セキュリティ責任者が不在の場合はこれに代わり必要かつ十分な措置を行う。(４)情報セキュリティ責任者本部の本部員(以下「部局長」という。)を、情報セキュリティ責任者とする。情報セキュリティ責任者は、次に掲げる権限と責任を有する。-5-① 各部局の情報セキュリティに関する統括的な権限と責任を有する。② 各部局の情報セキュリティ管理者及び情報システム管理者に対して、情報セキュリティに関する指導及び助言を行う。(５)情報セキュリティ管理者各所属長を、各所属における情報セキュリティ管理者とする。情報セキュリティ管理者は、各所属における情報セキュリティについて次に掲げる権限と責任を有する。① 各所属における情報セキュリティ対策に関して、適切な運用及び管理を行う。② 所管する情報資産を適正に管理するとともに、情報セキュリティポリシーの適切な運用に関して、所属する職員等に指導を行う。(６)情報システム管理者各情報システムを所管する所属の長を、情報システム管理者とする。情報システム管理者は、所管する情報システムについて次に掲げる権限と責任を有する。① 著しく不適切な利用等が認められる者がある場合は、その者の利用を制限又は停止する事ができる。② 所管する情報システムの情報セキュリティに関する維持管理を行う。③ 情報システムに関する実施手順の策定及び維持管理を行うとともに、情報主管課長と連携し、緊急時の連絡体制について利用する職員等に周知徹底を図る。(７)情報主管課長等情報セキュリティポリシーの運用を適切に実施するため、情報主管課を定めるものとし、みらい企画創造部ＤＸ推進課を情報主管課とし、同部ＤＸ推進課長を情報主管課長とする。情報主管課長は、次に掲げる権限と責任を有する。① 県としての情報セキュリティの考え方・取組みを明確にする。② 情報セキュリティポリシーに基づき、山形県として満たすべき情報セキュリティの基準を明確にし、それを実現し、維持するため、本対策基準に基づき実施手順を整備する。③ 情報セキュリティインシデントが発生した際に迅速な対応ができるよう、各部局との連携のもとに山形県としての組織体制や連絡網を確立するとともに、山形県全体の情報セキュリティ管理体制の統括事務を所掌する。④ 軽微な情報セキュリティインシデントが発生した場合は、自らの判断により必要かつ十分な措置を行うことができる。(８)山形県情報セキュリティ等監査員班統括情報セキュリティ責任者は、情報資産における情報セキュリティ対策状況について確認するため、山形県情報セキュリティ等監査員班長を指名し、山形県情報セキュリティ等監査員班を組織するものとする。(９)情報化推進・セキュリティ委員会情報セキュリティ責任者は、情報セキュリティポリシーを各部局の日常業務の中で具体的に運用するため、各部局、各総合支庁ごと情報化推進・セキュリティ委員会を組織するものとする。(10)情報セキュリティインシデント対策班(Computer Security Incident Response Team、以下「CSIRT」という。)情報セキュリティインシデントの防止に向けた取組みを行うとともに、発生時において、その状況等を正確に把握し、被害拡大の防止、復旧及び再発防止等の対策を迅速かつ的確に行うため、次に掲-6-げるところによりCSIRTの体制を整備するものとする。① 統括情報セキュリティ責任者、副統括情報セキュリティ責任者、情報主管課長及び情報主管課をCSIRTとする。② 統括情報セキュリティ責任者をCSIRT責任者、副統括情報セキュリティ責任者をCSIRT副責任者、情報主管課長をCSIRT管理者とする。③ CSIRT責任者は、情報セキュリティインシデントに対し必要かつ十分な措置をCSIRT管理者に指示する。④ CSIRT副責任者は、CSIRT責任者を補佐する。また、情報セキュリティインシデントの公表について、情報セキュリティインシデントが発生した部局(以下「インシデント発生部局」という。)に対し指示及び支援を行う。⑤ CSIRT管理者は、CSIRT責任者の指示のもと、情報セキュリティインシデントに対し必要かつ十分な措置を行う。⑥ CSIRT管理者は、情報セキュリティに関して県内市町村、関係機関及び委託事業者等との情報共有を行う。⑦ CSIRT管理者は、県内市町村から情報セキュリティインシデントの報告を受けた場合は、必要に応じ回復のための支援を行う。第３章 情報資産の分類と管理３．１ 情報資産の管理責任情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について管理責任を有する。３．２ 情報資産の分類情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について、別に定める実施手順に基づき、表１、表２及び表３に定める機密性、完全性、可用性に関する基準により分類を行うものとする。表１ 機密性による情報資産の分類分類 分類基準機密性３ 行政事務で取り扱う情報資産のうち、秘密文書に相当する情報資産機密性２ 行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産機密性１ 機密性２又は機密性３の情報資産以外の情報資産表２ 完全性による情報資産の分類分類 分類基準完全性２ 行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される、又は行政事務の適正な遂行に支障(軽微なものを除く。 )を及ぼすおそれがある情報資産-7-完全性１ 完全性２の情報資産以外の情報資産表３ 可用性による情報資産の分類分類 分類基準可用性２ 行政事務で取り扱う情報資産のうち、滅失、紛失、又は当該情報資産が利用不可能であることにより、住民の権利が侵害される、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産可用性１ 可用性２の情報資産以外の情報資産３．３ 情報資産の管理情報セキュリティ管理者及び情報システム管理者は、所管する情報資産の取り扱いについて管理方法を定め、情報資産の分類又はその内容に応じその取り扱いを制限しなければならない。また当該情報資産について、所属する職員等に対し、次に掲げるところ及び別に定める実施手順により取り扱うよう指導しなければならない。(１)取り扱い制限の遵守取り扱い制限のある情報資産を取り扱う場合は、これを遵守すること。(２)情報の秘匿情報をパソコン等機器又は電磁的記録媒体に保存する場合は、当該情報の情報資産の分類等に応じて、パスワード等による暗号化又は当該機器等の管理区域への保管等の方法によりこれを秘匿すること。(３)作成途中の情報の管理機密性２以上の情報について、作成途中であっても紛失や流出等を防止し、作成途中で不要になった場合は、これを消去すること。(４)他所属が所管する情報資産の取り扱い他の所属が所管する情報資産について、当該他所属が定めた情報資産の分類に基づき取り扱うこと。(５)情報資産の廃棄等情報資産を廃棄やリース返却等を行う場合は、次に掲げるところにより行うこと。① 当該媒体を所管する情報セキュリティ管理者又は情報システム管理者の許可を得ること。② 記録されている情報の機密性に応じ、情報資産の情報を復元できないように処置すること。③ 行った処理について、日時、担当者及び処理内容等を記録すること。３．４ パソコン等機器、電磁的記録媒体及びソフトウェアの管理(１)パソコン等機器、電磁的記録媒体及びソフトウェアの管理情報セキュリティ管理者及び情報システム管理者は、所管するパソコン等機器、電磁的記録媒体及びソフトウェアの管理について、次に掲げるところにより行うものとする。① パソコン等機器及び電磁的記録媒体の貸出及び返却について、記録を作成し保管しなければならない。-8-② ソフトウェアについて、そのライセンスを適切に管理しなければならない。また、開発元のサポートが終了したソフトウェアについては、原則として速やかにその使用を終了しなければならない。 また、緊急性及び重要性に応じて情報セキュリティ責任者に報告しなければならない。④ 情報主管課長は、情報セキュリティインシデントを認知した場合は、その状況を確認し、緊急性及び重要性に応じて統括情報セキュリティ責任者及び副統括情報セキュリティ責任者に報告を行うとともに、統括情報セキュリティ責任者の指示又は自らの判断のもと、当該インシデントに係る情報セキュリティ管理者及び情報システム管理者に対し、被害拡大防止及び復旧のための対策を指示し、又は自らこれを講じなければならない。⑤ 統括情報セキュリティ責任者は、情報セキュリティインシデントの報告を受けた場合はその状況を確認し、被害拡大防止及び復旧のための対策について情報主管課長に対し指示しなければならない。また、その内容についてCISOに報告しなければならない。(２)情報セキュリティインシデントの公表情報セキュリティインシデントについて外部公表を行う場合は、次に掲げるところにより行うものとする。① 副統括情報セキュリティ責任者は、インシデント発生部局における「山形県広報広聴事務取扱要綱」の規定による報道監(以下「発生部局の報道監」という。)に対し、外部公表に係る指示及び支援を行わなければならない。② 外部公表は、発生部局の報道監が行うものとし、その内容について副統括情報セキュリティ責任者に報告しなければならない。③ 副統括情報セキュリティ責任者は、公表した内容について統括情報セキュリティ責任者に報告しなければならない。(３)関係機関等との連携情報主管課長は、当該情報セキュリティインシデントが不正アクセス禁止法違反等の犯罪の可能性がある場合は、攻撃の記録を保存するとともに、警察及び関係機関との密接な連携に努めなければならない。(４)情報セキュリティインシデントの原因究明・記録等情報主管課長並びに発生した情報セキュリティインシデントに係る情報セキュリティ管理者及び情報システム管理者は、互いに連携して当該インシデントの原因を究明するとともに、その内容、原因、処理結果等を記録し、適切に保存しなければならない。-14-(５)情報セキュリティインシデントの再発防止① CISOは、情報セキュリティインシデントの報告を受けた場合は、その内容を確認し、統括情報セキュリティ責任者に対し再発防止策を実施するために必要な措置を指示しなければならない。② 統括情報セキュリティ責任者は、CISO の指示のもと、再発防止のための対策について情報セキュリティ責任者に対し指示し、又は自らこれを行わなければならない。また、その内容についてCISOに報告しなければならない。③ 情報セキュリティ責任者は、再発防止の対策について指示を受けた場合はこれを実施し、その内容について統括情報セキュリティ責任者へ報告しなければならない。６．７ ＩＤ及びパスワード等の取り扱い職員等は、ID、パスワード及びICカード等の取り扱いについて、次に掲げるところにより行うものとする。(１)ID及びパスワードの取り扱い① 自己の管理するＩＤ及びパスワードを、他人に利用させてはならない。② 情報システム等でやむを得ずＩＤ及びパスワードを共用利用する場合は、共用利用者以外に利用させてはならない。③ パスワードは秘密にし、パスワードを記載したメモ等を第三者が容易に閲覧できる場所に掲示等してはならない。また、業務上必要がなくなった場合は速やかにこれを廃棄しなければならない。④ パスワードは十分な長さとし、文字列は他人が容易に想像できないものにしなければならない。⑤ ID及びこれに係るパスワードが流出した、又はそのおそれがある場合は、速やかにパスワードを変更するとともに、「6.6.情報セキュリティインシデントの報告及び対応」に掲げるところにより報告等を行わなければならない。⑥ 情報システム管理者から与えられた仮のパスワード(初期パスワード含む)について、情報システムへ初めてログインした時点で変更しなければならない。⑦ パソコン等機器のパスワードの記憶機能について、情報主管課より提供された以外のものを使用してはならない。(２)ICカード等の取り扱い① ICカード等を業務上必要のない者に貸し出してはならない。② ICカード等をパソコン等機器に接続したまま離席してはならない。③ ICカード等を紛失した場合は、「6.6.情報セキュリティインシデントの報告及び対応」に掲げるところにより報告等を行わなければならない。第７章 技術的セキュリティ７．１ 機器及びネットワークの管理(１)機器及びネットワークの管理情報システム管理者は、所管する情報システムについて、次に掲げるところにより機器及びネットワークの管理等を行うものとする。① サーバ等機器に記録された情報について、当該機器の冗長化対策に関わらず、必要に応じて定期的-15-にバックアップを実施しなければならない。② 情報システムの運用において実施した作業について、作業記録を作成し適切に管理しなければならない。③ 情報システムの変更等の作業を行った場合は、作業内容について記録を作成するとともに、これを漏えいし、又は改ざん若しくは消去等されないよう適正に管理しなければならない。④ 情報システムの仕様書及びネットワーク構成図について、記録媒体に関わらず、業務上必要とする者以外の者の閲覧、紛失等がないよう、適正に管理しなければならない。⑤ 各種ログ及び情報セキュリティの確保に必要な情報を取得するとともに、これを改ざん及び誤消去されないよう必要な措置を講じた上で、一定の期間保管しなければならない。⑥ ログとして取得する項目、保存期間及び取り扱い方法等について定め、適正にログを管理しなければならない。⑦ 悪意ある第三者等からの不正侵入及び不正操作等の有無について、取得したログを必要に応じて点検又は分析しなければならない。⑧ 職員等からの情報システムに関する障害の報告及びその処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。⑨ フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等の設定情報を管理しなければならない。⑩ 不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。７．２ 外部ネットワーク等との接続(１)外部ネットワーク等との接続情報システム管理者は、所管する情報システムについて外部のネットワーク及び情報システム(以下「外部ネットワーク等」という。 )との接続を行う場合は、次に掲げるところにより行うものとする。① 基幹ネットワークを外部ネットワーク等と接続する場合は、情報主管課長の承認を得た上でこれを行わなければならない。② 接続しようとする外部ネットワーク等に係るネットワーク構成、機器構成及び情報セキュリティ技術等を調査しなければならない。③ 接続した外部ネットワーク等の管理者の瑕疵によりデータの漏えい・破壊・改ざん・消去等又は情報システムの停止等による業務への影響が生じた場合に対処するため、当該外部ネットワーク等の管理者による損害賠償責任を契約上担保しなければならない。④ ウェブサーバ等をインターネット上に公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部のネットワークとの境界に設置した上で接続しなければならない。⑤ 接続した外部ネットワーク等のセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合は、速やかに当該外部ネットワークを遮断しなければならない。７．３ 無線LANの盗聴対策情報システム管理者は、所管する情報システムにおいて無線LANを利用する場合、解読が困難な暗号化及び認証技術を使用しなければならない。-16-７．４電子メールのセキュリティ管理及び利用制限情報主管課長が所管する電子メールのセキュリティ管理及び利用制限は、次に掲げるところによるものとする。(１)電子メールのセキュリティ管理情報主管課長は、電子メールのセキュリティ管理等について、次に掲げるところにより行うものとする。① 権限のない利用者により、基幹ネットワークを経由した外部から外部への電子メールの中継処理が行われることを不可能とするよう、メールサーバの設定を行わなければならない。② スパムメール等が内部から送信されていることを検知した場合は、必要に応じてメールサーバの運用を停止しなければならない。③ 電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。④ 所管するドメインについて、外部の者により詐称されないよう送信ドメインの認証を行わなければならない。⑤ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取込む場合は無害化しなければならない。(２)電子メールの利用制限情報システムの開発、運用又は保守等のため庁舎内に常駐している委託事業者等による電子メールアドレスの利用は原則禁止とする。ただし、業務上やむを得ないと情報主管課長が認めた場合はこの限りではない。７．５ Web会議サービスの利用時の対策Web 会議サービスの利用にあたっては、別に定める実施手順に従い、情報セキュリティ対策を実施しなければならない。７．６ ソーシャルメディアサービスの利用ソーシャルメディアサービスの利用にあたっては、別に定める実施手順を遵守しなければならない。７．７ アクセス制御(１)情報システム管理者によるアクセス制御等情報システム管理者は、所管する情報システムへのアクセス制御等について、次に掲げるところにより行うものとする。① 情報システムで取り扱う情報資産の分類又はその内容に応じ、アクセス権限を有する職員等及びその権限の内容を、必要最小限としなければならない。② アクセスする権限のない職員等がアクセスできないよう、ICカード等又はユーザID等によりシステム上制限しなければならない。③ 利用者の登録、変更及び抹消等の情報管理並びに職員等の異動、出向及び退職等に伴うユーザ IDの取り扱い等の方法を定めなければならない。④ 管理者権限等の特権を付与されたID を利用する者を必要最小限にし、当該ID及びこれに係るパ-17-スワードの漏えい等が発生しないよう厳重に管理しなければならない。⑤ 職員等の認証に関する情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。⑥ 認証情報の不正利用を防止するための措置を講じなければならない。⑦ 所管する情報システムの情報資産の分類又はその内容に応じて、適正な強度のログインパスワードを設定し、定期的に変更しなければならない。⑧ 外部のネットワークからのアクセスを認める場合、通信途上の盗聴を防御するために通信の暗号化等の措置を講じなければならない。⑨ 特権によるネットワーク及び情報システムへの接続時間を必要最小限とするよう努めなければならない。(２)職員等による外部からのアクセス等の制限情報セキュリティ管理者は、職員等による外部のネットワークからのアクセス等について、次に掲げるところにより行わなければならない。① 職員等に外部からネットワーク又は情報システムへアクセスさせる場合は、当該システムを所管する情報システム管理者の承認を得なければならない。② ネットワーク又は情報システムに対する外部からのアクセスを、これを必要とする合理的理由を有する最小限の者に限定しなければならない。７．８ システム開発・導入・保守等情報システム管理者は、情報システムの開発・導入・保守等について、次に掲げるところにより行うものとする。(１)情報システムの調達① 情報システムに係る開発・導入・保守等の調達にあたっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。② 機器又はソフトウェアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。(２)情報システムの開発① 開発に使用するIDを適切に管理し、開発完了後に不要となる場合は、これを消去しなければならない。② 開発に用いるハードウェア及びソフトウェアについて、情報セキュリティ上問題のないことを確認しなければならない。③ 利用を認めた以外のソフトウェアが情報システムに導入されている場合は、これを消去しなければならない。(３)情報システムの導入① 情報システムの開発、保守及びテスト環境と運用環境を可能な限り分離しなければならない。② 情報システムの開発・保守計画の策定時にシステム運用環境への移行の手順を明確にしなければならない。 ③ 移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う業務への影響が最小限になるよう配慮しなければならない。-18-④ 導入する情報システム又はサービスに求められる可用性を満たすことを確認した上で導入しなければならない。⑤ 導入する情報システム又はサービスを既に稼動している情報システムに接続する前に十分な試験を行わなければならない。またこの場合において、機密性２以上の情報を試験に使用してはならない。(４)情報システムの開発・保守に関する資料の保管情報システムの開発・保守に関する資料を適正に整備・保管しなければならない。(５)入出力データの正当性の確保① 情報システムに入力されるデータについて、範囲及び妥当性のチェック機能並びに不正な文字列の入力を除去する機能が組み込まれるよう、情報システムを設計しなければならない。② 故意又は過失による情報の漏えい・破壊・改ざん・消去等のおそれがある場合に、これを検出するチェック機能が組み込まれるよう、情報システムを設計しなければならない。③ 情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるよう、情報システムを設計しなければならない。(６)変更管理情報システムの変更をした場合は、プログラム仕様書等の変更履歴を作成しなければならない。(７)開発・保守用のソフトウェアの更新等開発・保守用のソフトウェアを更新又はこれにパッチを適用する場合は、関連する他の情報システムへ影響を与えることがないよう、その整合性を確認しなければならない。(８)システム更新又は統合時の検証等情報システムを更新又は統合する際は、長時間停止や誤作動による業務への影響が生じないよう、更新等の前にその体制及び計画等について検証等を行わなければならない。７．９ 不正プログラム対策(１)情報主管課長による対策情報主管課長は、不正プログラム対策について、次に掲げるところにより行うものとする。① 外部ネットワーク等から送受信するファイルは、基幹ネットワークのゲートウェイにおいて不正プログラムのチェックを行い、これの基幹ネットワークへの侵入及び外部への拡散を防がなければならない。② 不正プログラムに関する情報を収集し、必要に応じ職員等に対して注意喚起を行わなければならない。(２)情報システム管理者による対策情報システム管理者は、所管する情報システムの不正プログラム対策について、以下に掲げるところにより行うものとする。① ネットワーク接続を要する情報システムにおいて、パソコン・サーバ等に、不正プログラム対策ソフトウェアを常駐させるとともに、不正プログラムのパターンファイル等を常に最新の状態に保たなければならない。② ネットワークに接続しない情報システムにおける電磁的記録媒体の使用について、使用を認めた以外のものを職員等に利用させてはならない。③ ネットワークに接続しない情報システムにおいて、不正プログラムの感染及び侵入が生じる可能-19-性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。④ 不正プログラム対策ソフトウェアを導入しているパソコン・サーバ等に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。⑤ 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。７．10 不正アクセス対策(１)基幹ネットワークの不正アクセス対策情報主管課長は、基幹ネットワークの不正アクセス対策について、次に掲げるところにより行うものとする。① 使用されていないポートを閉鎖しなければならない。② 不要なサービスについて、機能を消去又は停止しなければならない。③ 情報システムに攻撃を受けることが明確になった場合は、「5.6.情報セキュリティインシデントの報告及び対応等」に準じ、報告等及び情報システムの停止を含む必要な措置を講じるとともに、関係機関と連絡を密にして情報の収集、提供を行わなければならない。④ 基幹ネットワーク内のパソコン・サーバ等に対する攻撃及びこれらからの外部ネットワーク等に対する攻撃を監視しなければならない。(２)サービス不能攻撃対策情報システム管理者は、外部のネットワークからアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。(３)標的型攻撃対策電子メールに係る情報システムを所管する情報システム管理者は、所管するネットワークについて、標的型攻撃による不正プログラムの侵入を防止するために、自動再生無効化等の入口対策を講じなければならない。また、侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。７．11 セキュリティ情報の収集(１)セキュリティ情報の収集情報主管課長及び情報システム管理者は、セキュリティ情報の収集について、次に掲げるところにより行うものとする。① セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。② 情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認知した場合は、情報セキュリティインシデントを未然に防止するための対策を速やかに講じなければならない。(２)不正プログラム情報の収集情報主管課長は、不正プログラムに関する情報等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。-20-第８章 遵守状況の確認８．１ 情報システムの監視(１)情報システムの監視情報システム管理者は、所管する情報システムの監視について、次に掲げるところにより行うものとする。① セキュリティに関する事案を検知するため、情報システムを常時監視し、その記録を保存しなければならない。② 重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。 ８．２ 情報セキュリティポリシー遵守状況の確認(１)情報セキュリティポリシー遵守状況の確認① 情報セキュリティ管理者は、定期的又は必要に応じ所属職員等の情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合は、速やかに情報主管課長に報告しなければならない。② 情報主管課長は、発生した問題について、適正かつ速やかに対処しなければならない。③ 情報システム管理者は、ネットワーク及びサーバ等機器のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的又は必要に応じ確認を行い、問題がある場合は適正かつ速やかに対処しなければならない。(２)機器等の利用状況調査情報主管課長は、不正アクセス及び不正プログラム等の確認のため、パソコン等機器、電磁的記録媒体のログ及び電子メールの送受信記録等の利用状況を調査することができる。第９章 障害時の対応９．１ 緊急時対応計画の策定情報システム管理者は、緊急時対応計画の策定について、次に掲げるところにより行うものとする。(１)緊急時対応計画の策定情報セキュリティインシデントが発生した場合において連絡、証拠保全、被害拡大の防止、影響範囲の特定、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、発生時には当該計画に従って適正に対処しなければならない。(２)緊急時対応計画に定める事項緊急時対応計画には、次に掲げる内容を定めなければならない。① 関係者の連絡先② 発生した事案に係る報告すべき事項③ 発生した事案への対応措置-21-④ 再発防止措置の策定(３)緊急時対応計画の見直し情報セキュリティを取り巻く状況の変化や組織体制の変動等に対し、必要に応じて緊急時対応計画の規定を見直さなければならない。９．２ 事業継続計画との整合県が事業継続計画を整備する場合、本部は、当該計画と情報セキュリティポリシー等の整合性を検討し、必要に応じ情報セキュリティポリシーの見直しを行うものとする。第10章 業務委託と外部サービスの利用10．１ 業務委託等情報システム管理者は、業務委託等について、次に掲げるところにより行うものとする。(１)委託等事業者の選定① 委託等事業者の選定にあたり、委託等の内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。② 情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして、委託等事業者を選定しなければならない。(２)契約時のセキュリティ要件情報システムの運用等を業務委託等する場合は、委託等事業者との間で必要に応じて次の情報セキュリティ要件を契約に含めなければならない。① 山形県情報セキュリティポリシー及び実施手順の遵守② 当該事業者の責任者、委託等の内容、作業者の所属、作業場所の特定③ 提供されるサービスレベルの保証④ 当該事業者にアクセスを許可する情報の種類と範囲、アクセス方法⑤ 業務従事者に対する情報セキュリティ教育の実施⑥ 提供された情報の目的外利用及び当該事業者以外の者への提供の禁止⑦ 業務上知り得た情報の守秘義務⑧ 再委託等に関する制限事項の遵守⑨ 業務終了時の情報資産の返還、廃棄等⑩ 業務の定期報告及び緊急時報告義務⑪ 県による情報セキュリティに関する監査・検査の受け入れ⑫ 情報セキュリティインシデント発生時の県による公表に対する同意⑬ 情報セキュリティポリシーを遵守しなかったこと及び当該事業者の瑕疵による損害賠償等10．２ 外部サービスの利用(機密性２以上の情報を取り扱う場合)外部サービスの利用(機密性２以上の情報を取り扱う場合)にあたっては、別に定める実施手順を遵守しなければならない。-22-10．３ 外部サービスの利用(機密性２以上の情報を取り扱わない場合)外部サービスの利用(機密性２以上の情報を取り扱わない場合)にあたっては、別に定める実施手順を遵守しなければならない。第11章 法令遵守11．１ 法令遵守(１)法令遵守職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか、関係法令を遵守し、これに従わなければならない。① 地方公務員法(昭和25年12月13日法律第261号)② 著作権法(昭和45年法律第48号)③ 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)④ 個人情報の保護に関する法律(平成15年5月30日法律第57号)⑤ 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第27号)⑥ サイバーセキュリィティ基本法(平成26年法律第104号)⑦ 山形県個人情報保護条例(平成12年10月県条例第62号)⑧ 特定個人情報の保護に関する条例(平成27年７月県条例第40号)第12章 違反時の対応等12．１ 違反時の対応及び処分等(１)違反時の処分職員等の情報セキュリティポリシーに係る違反行為が認められるときは、当該職員等は発生した事案の状況等に応じて、懲戒処分その他の処分の対象となる。(２)違反時の対応違反行為への対応は、次に掲げるところによるものとする。① 職員等は、他の職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに当該職員等が所属する情報セキュリティ管理者に報告し、適正な措置を求めなければならない。② 情報セキュリティ管理者は、所属する職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに情報主管課長及び当該違反行為に係る情報システム管理者に報告するとともに、当該職員等に是正の指導を行わなければならない。③ 情報主管課長及び当該違反行為に係る情報システム管理者は、所管する情報システムに関して職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、当該職員等が所属する情報セキュリティ管理者に通知し、適正な措置を求めなければならない。④ 情報セキュリティ管理者の指導によっても改善されない場合、情報システム管理者は、所管する情報システムについて、当該職員等の利用を停止することができる。-23-第13章 評価・見直し13．１ 情報セキュリティ監査(１)情報セキュリティ監査の実施情報セキュリティ監査は、次に掲げるところにより行うものとする。① 山形県情報セキュリティ等監査員班は、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、定期的に又は必要に応じて監査を行わなければならない。② 山形県情報セキュリティ等監査員班は、情報セキュリティ監査に係る実施要綱を定めなければならない。 ③ 被監査所属の情報セキュリティ管理者及び監査対象の情報システムを所管する情報システム管理者は、情報セキュリティ監査の実施に協力しなければならない。13．２ 自己点検(１)自己点検の実施情報セキュリティ対策に関する自己点検は、次に掲げるところにより行うものとする。① 情報セキュリティ管理者は、情報セキュリティポリシーの運用及び管理状況について、定期的又は必要に応じ自己点検を行わなければならない。② 情報システム管理者は、所管する情報システムについて、定期又は必要に応じ情報セキュリティ対策状況に関する自己点検を行わなければならない。③ 情報セキュリティ管理者及び情報システム管理者は、自己点検実施後は点検結果と改善策を取りまとめ、自己の権限の範囲内で改善を図った上で、情報主管課長に報告しなければならない。④ 情報主管課長は、報告を受けた点検結果について、情報セキュリティポリシーの見直しに活用しなければならない。13．３ 情報セキュリティポリシーの見直し本部は、必要があると認めた場合は、情報セキュリティポリシーの運用状況を確認するとともに、その結果及び情報セキュリティに係る環境の変化等を踏まえ、その見直しを行うものとする。第14章 例外措置14．１ 例外措置の許可情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合は、統括情報セキュリティ責任者の承認を得て、例外措置を講じることができる。14．２ 緊急時の例外措置-24-情報セキュリティ管理者及び情報システム管理者は、災害対応等行政事務の遂行に緊急を要し、例外措置をとることが避けられない場合は、事後速やかに統括情報セキュリティ責任者に報告しなければならない。14．３ 例外措置の記録統括情報セキュリティ責任者は、情報セキュリティ管理者又は情報システム管理者により例外措置がとられた場合は、その内容について記録し、一定期間保管しなければならない。第15章 実施手順15．１ 実施手順本対策基準に定める事項のほか、情報セキュリティポリシーの運用にあたって遵守すべき実施手順のうち情報主管課長が所管するものは、別表のとおりとする。15．２ 実施手順の公開等(１)実施手順の公開等① 実施手順は、公にすることにより本県の行政運営に重大な支障を及ぼすおそれがあることから原則として非公開とする。② 職員等以外の者がその業務の遂行上実施手順を参照する必要がある場合は、その者に対してのみこれを開示することができ、その者はこれに関して守秘義務を負うものとする。第16章 委任16．１ 情報主管課長への委任(１)情報主管課長への委任次に掲げる事項については、情報主管課長に委任する。① 県の組織に関する条例又は規則の改正に伴う本対策基準の規定の整備及び見直し② 本対策基準別表の整備及び見直し③ 本対策基準別表に掲げる実施手順の整備及び見直し附則本規程は、平成20年４月１日から施行する。附則本規程は、平成21年４月１日から施行する。附則本規程は、平成22年４月１日から施行する。附則本規程は、平成23年４月１日から施行する。-25-附則本規定は、平成28年４月１日から施行する。附則本規定は、平成29年４月１日から施行する。附則本規定は、平成31年４月１日から施行する。附則本規定は、令和２年４月１日から施行する。附則本規定は、令和３年４月１日から施行する。附則本規定は、令和４年10月25日から施行する。附則本規定は、令和５年４月１日から施行する。別表 実施手順大分類 小分類 実施手順情報資産 分類管理 情報資産の分類と管理に関する実施手順(H23.3.31(H29.4.1最終改正))電子情報の持ち出しに係る取扱基準(H20.12.1(R5.4.1最終改正))物理的セキュリティ人的セキュリティ技術的セキュリティ端末管理 情報系パソコン運用管理手順(H22.8.31(H29.11.6最終改正))イントラ情報システム山形県庁イントラ情報システム利用要綱(H20.8.14(R2.2.1最終改正))山形県庁イントラ情報システム「サービス利用者の認証」の利用手順(R2.4.1最終改正)山形県庁イントラ情報システム「電子メール」の利用手順(R2.2.1最終改正)山形県庁イントラ情報システム「インターネット」の利用手順(R4.12.22最終改正)山形県庁イントラ情報システム「文書管理」の利用手順(H26.4.1最終改正)山形県庁イントラ情報システム「共有ワークスペース」の利用手順(R2.2.1最終改正)イントラ情報システム「セキュアファイル交換」の利用手順(R2.2.1)インターネット接続に係る特定通信の利用手順(R2.2.1)-26-仮想ＰＣ運用管理手順(R2.2.1)ネットワーク管理山形県基幹高速通信ネットワーク外部機関利用要綱(H16.9.10(R3.4.1最終改正))山形県基幹高速通信ネットワーク外部機関接続要綱(H17.7.1(R3.4.1最終改正))テレワーク テレワークにおける情報セキュリティ対策実施手順(R2.12.14)在宅勤務制度(試行含む)に係るパソコン貸し出し要綱(H29.8.1(R2.1.1最終改正))山形県サテライトオフィス(試行含む)に係るパソコン貸し出し要綱(R29.8.1(R2.1.1最終改正))リモート接続システム利用要領(R2.1.1(R5.4.1最終改正))短期モバイル端末貸出要領(H29.9.14(R5.4.1最終改正))長期モバイル端末貸出要領(H29.8.1(R5.4.1最終改正))Web会議サービスWeb会議ツール「Zoom」利用要領(R2.5.12(R5.4.1最終改正))ソーシャルメディアサービス山形県ソーシャルメディアサービスの利用に関する実施手順(H28.4.1(H29.4.1最終改正))障害時の対応 情報システムの対応情報資産に関する危機管理方針(H14.3)山形県基幹高速通信ネットワーク障害対応マニュアル(H22.3.30(R3.4.1最終改正))外部サービスの利用外部サービス 外部サービスの利用(機密性２以上の情報を取り扱う場合)に関する実施手順(R4.10.25)外部サービスの利用(機密性２以上の情報を取り扱わない場合)に関する実施手順(R4.10.25)評価・見直し 情報セキュリティ監査山形県情報セキュリティ監査実施要綱(R4.7.11)-27-(参考資料)情報セキュリティポリシー関連規程について情報セキュリティの確保のため特に遵守又は参照すべき主な関連規程について、下記に示す。 (１)関連規程のうち、情報主管課が所管するもの(２)関連規程のうち、情報主管課以外が所管するもの大分類 小分類 関連規程情報資産 情報公開 山形県情報公開条例(H9.12.22(R4.12.23最終改正)、総務部)個人情報 個人情報の保護に関する法律施行条例(R4.12.23、総務部)文書管理 山形県公文書管理規程(R2.3.27(R5.4.1最終改正)、総務部)文書事務の手引(H7.3.31(R2.11最終改正)、総務部)総合行政ネットワークにおける電子公文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)電子メール及び電子掲示板を利用した電子文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)物理的セキュリティ人的セキュリティ技術的セキュリティインシデント対応 山形県広報広聴事務取扱要綱(H9.4.1(R5.4.1最終改正)、総務部)障害時の対応 危機管理 山形県危機管理要綱(H17.4.1(R4.4.1最終改正)、防災くらし安心部)山形県大規模災害発生時の災害対策本部事務局活動マニュアル(R4.6最終改正、防災くらし安心部)外部サービスの利用ソーシャルメディアサービスソーシャル・ネットワーキング・サービスを利用した山形県広報活動ガイドライン(H28.2.17総務部)違反時の対応懲戒処分 懲戒処分の基準(R2.10.1最終改正、総務部)懲戒処分の基準(R2.7.1最終改正、教育委員会)大分類 小分類 関連規程組織体制 山形県デジタル化推進本部設置要綱(H12.9.26(R2.11.19最終改正))情報資産 文書管理 山形県行政手続等における情報通信の技術の利用に関する条例(H18.12.19)物理的セキュリティ人的セキュリティ技術的セキュリティシステム調達 山形県情報システム導入標準ガイドライン(R3.4.1(R4.10.25最終改正)) 山形県立河北病院医療情報セキュリティポリシー(基本方針)平成２７年７月１日 施行山形県立河北病院医療情報セキュリティ基本方針山形県立河北病院(以下、「当院」という。)では、医事会計業務の電子化を契機に、検査業務システムの電子化、外来処方のオーダリングシステム化、医療画像管理システムの導入など、医療業務のＩＴ化を推進することにより効率化を図ってきた。また、平成２４年２月から稼働している総合医療情報システムにおいては、電子カルテの導入、システム間連携の強化により、医療の効率化のみならず、安全な医療の提供、安定した病院経営の実現を図ることとしている。一方、電子化された情報は、「漏えい等の事態が生じた場合に、一瞬かつ大量に情報が漏えいする可能性が高いこと」、「医療従事者が電子情報取扱いの専門的な知識を有しているとは限らないこと」など、 これまでの紙媒体の情報とは異なる特殊性を有している。当院が取り扱う医療情報及びこれに関連・付随する情報(以下「医療情報」という。)には、患者の個人情報をはじめ、外部に漏えい等の事態が生じた場合、極めて重大な結果を招く情報が多数含まれており、地域の中核病院として、信頼される医療の提供を使命としている当院にとって、「情報セキュリティの確保」は必須事項である。当院は、これらの守るべき情報、情報を取り扱うネットワークシステム、コンピュータシステム等を、重要な「医療情報資産」として位置付け、適正な管理を実施し、患者の権利、利益を守り、病院の安定的継続的な運営を実現するために、ここに山形県立河北病院医療情報セキュリティ基本方針を定める。(１)職員一人ひとりがＩＴ社会における模範となるよう努める。(２)適切な技術的施策を講じ、当院の医療情報資産に対する不正な侵入、改ざん、破壊、利用妨害等が発生しないよう、また、これが漏えいなどすることのないよう努める。(３)当院の医療情報資産にセキュリティ上問題が発生した場合、その原因を迅速に究明し、その被害を最小限に止めるよう努める。(４)当院の医療情報資産のうち特に重要なものについては、必要なとき確実に利活用できるよう十分な備えに努める。(５)上記の活動を継続的に実施し、かつ、新たな脅威にも対応できるよう、医療情報セキュリティ管理体制を確立する。