株式会社CaTe(以下「当社」といいます)は、遠隔心臓リハビリテーション支援プログラム医療機器「CRS-1」の開発・製造販売及び関連サービスを提供する事業者として、お客様、医療機関、被験者その他関係者の皆様からお預かりする情報資産を適切に保護することが、当社の社会的責任の根幹であると認識しています。

当社は、情報資産の機密性・完全性・可用性を確保し、信頼される事業活動を継続するため、以下のとおり情報セキュリティ基本方針を定め、全役職員に周知徹底するとともに、継続的にその実効性を高めてまいります。

第1条(目的)

本方針は、当社が取り扱う全ての情報資産を様々な脅威から保護し、適切に管理するための基本的な考え方を明らかにすることを目的とします。

第2条(適用範囲)

本方針は、当社の全役員及び従業員(雇用形態を問わず)並びに当社の業務に従事する委託先・協力会社の担当者に適用します。対象とする情報資産は、当社が取り扱う全ての情報及びそれを処理する情報システム、機器、記録媒体を含みます。

第3条(基本原則)

当社は、以下の基本原則に基づき情報セキュリティを推進します。

• 機密性:正当な権限を持つ者のみが情報にアクセスできる環境を整備します。
• 完全性:情報の正確性及び完全性を保護し、不正な改ざんを防止します。
• 可用性:正当な利用者が必要なときに情報及びシステムを利用できる環境を維持します。

第4条(法令及び規範の遵守)

当社は、個人情報保護法、医薬品医療機器等法(薬機法)、医療機器GCP省令、厚生労働省・経済産業省・総務省が定める医療情報の安全管理に関するガイドライン(いわゆる3省2ガイドライン)その他情報セキュリティに関する法令、国が定める指針、契約上の義務を遵守します。

第5条(推進体制)

代表取締役を情報セキュリティの最高責任者とし、情報セキュリティ管理者を任命して全社的な管理体制を構築します。また、情報セキュリティインシデント対応のためCSIRT(コンピュータセキュリティインシデント対応チーム)及び製品セキュリティインシデント対応のためPSIRT(製品セキュリティインシデント対応チーム)を設置します。

第6条(リスクマネジメント)

当社は、情報資産に対するリスクを定期的に評価し、リスクの大きさに応じた適切な技術的・組織的・物理的・人的対策を実施します。クラウド環境を利用した医療情報システムの運用については、3省2ガイドラインに基づく安全管理措置を講じます。

第7条(教育及び訓練)

当社は、全役職員に対し、情報セキュリティに関する教育を継続的に実施し、その重要性の理解、適切な行動を徹底します。また、インシデント対応訓練を定期的に実施します。

第8条(インシデント対応)