【1480】情報セキュリティ管理の仕組み・ISMSとは何か。PMSとの違いは?

~病院職員が、安心して、仕事の生産性高く、充実して働ける未来の一助へ~

中神勇輝です!

1480目。「病院経営の理論と実践塾」より、日々の学びや気づきをお知らせします(^_^)

しばらく医療経営士の試験対策も兼ねて、長英一郎さん作成の医療経営士1級の予想問題集より学びをシェアします。

(以下からどうぞ。)

https://eiichiro007.stores.jp/items/5cb16e9eadb2a139220e0fd1

今日のテーマは「ISMSとPMSとの違い」について。

そもそもISMS、PMSとは何か、について確認します。

以下は、過去のブログの記事の一部改編です。

【項目と導入のポイント】

・確立
・導入運用
・監査及びレビュー
・維持改善

があります。言い換えると、PDCAです。

【確立】

確立までのスケジュールは一年ぐらいを目安にする、ということです。
というのも、情報系は特に陳腐化のリスクもあります。
あまり長くなると、参加者のモチベーションも下がります。
また、体制を考えていく中で、大事なのは、
基本方針を策定する、検討する委員会の設定、どの範囲(部門)までを適用とするのか。
情報資産を特定し、リスク評価手法を決定する。
その情報資産も5つ分けられています。

【情報資産】

・情報資産
・ソフトウェア資産
・物理的資産
・サービス資産
・無形資産

です。

・業務の個人情報
・他社の機密情報
・人事給与
・経営関連
・業務管理
・技術情報
・院内管理情報
・議事録
・公開情報
・サービス

など、これらの情報資産についてリスクアセスメント、リスク対応、リスクの段階で考えます。

例えば、脆弱性、リスク分析、その情報はどこにあるのか(場所)、
責任者は誰なのか、など特定し、脆弱性を確認し、安全対策をしていく。
この作業を通して、現場部門には、部内の脆弱性を自覚する機会になります。
機密性は大丈夫か、安全性はどうか、可用性の程度はどうか、といったことがチェックポイントです。

また、リスクについては、人間に起因するのか、環境に起因するのか、という視点でも見ます。
誤り及び手抜かり、ファイルの削除、地震・雷・火事などですね。
いろいろな情報資産や、そのリスク等を項目化して、適用宣言書を作成する、
マニュアルを作成する、文書管理規定を策定する、標準化をする、
関連して、個人情報保護の内部規定を作成する、ということも書かれていました。

【導入と運用】

ルール化しても、職員、組織内に伝わらなければ意味がありませんので、次のステップは、セキュリティや個人情報の教育です。
作った仕組みを実際に運用して、記録していく、効果の測定などに取り組む必要があります

【監査及びレビュー】

運用が始まれば、プロセスを開始し、セキュリティ事件を検出し対処します。
この活動をしたかどうか、という、確実に記録に残す仕掛けを作ることが重要です。
マニュアルだけあって行われてないということが往々にしてあります。
監査責任者、監査チームなどを作って取り組んでいく必要があります。
その中で、監査チームもレベルが上がってくるので、繰り返していくことが大事です。

内部監査員に求められる「特質」は以下の通りです。

・倫理的
・広い心
・外交的
・観察力
・鋭い知覚
・適用性
・粘り強い
・決断力
・自立的

経営層の「マネジメントレビュー」(確認)も必要で、上層部から各部門までしっかり関わっていくことが求められます。

【維持改善】

改善(Act)していく段階、是正処置と予防処置です。
ISMSの導入により、組織はOECD9原則に適合し、
情報セキュリティを適切にマネジメントする体制を実現できるようになる、と締められています。

【ISMSとPMS(個人情報保護マネジメントシステム)の比較】

・PMSが「個人情報のみ」を取り扱うのに対して、
ISMSは「すべての情報」をセキュリティ対象として扱います。
PMSは、情報処理のみに限らず、個人情報の取得時の同意や
利用及び提供、個人情報の本人等への開示に至るところまで規定がされています。

その他の違いとしては、

・更新審査の期間(ISMSは、維持で1年に1回、更新で3年に1回。PMSは2年に1回、
・適用範囲(ISMSは、部門や事業別で自由度がある、PMSは基本的に事業者単位)

などです。今回の問題で新規(前回のブログから追加)の内容は、

・ISMSは、国際規格。PMSは、日本のみ。

といったあたりですね。

情報資産をどのように扱うか、よい復習になりました。

以上です。では、また明日(^-^)v

(当該内容は、私の所属する組織とは一切関係はなく、全ての文責は私個人に属します。)

テーマについて、ご要望あれば、コメントをどうぞ。

◇病院経営の見える化について公開講座(動画)の講師をする機会を頂きました。感謝(^_^)
◇過去の内容、記事はこちらから是非(^-^)
◇本の要約をアップしている、YouTubeチャンネルは、こちらです(^-^)

この記事を書いたのは、こんな人。
ーーーーーーーーーーーーーーー
地方の中小病院に勤務する医事課畑出身の企画部門所属にする医療経営士2級。
名は、中神勇輝と申します。今年、医療経営士1級を受験予定。
(可能なら中小企業診断士も受験する予定。)
趣味は、ピアノとドラムと家庭菜園と筋トレ(HIIT最高!)と読書。
(記載内容は、所属する医療機関の発言でなく個人の意見です)

ISMS・情報セキュリティ,医療経営士

Posted by nakagami yuuki