株式会社ポテック

情報セキュリティ基本方針

株式会社ポテック(以下「当社」といいます。)は、医療機関向けクラウドサービス「AIカルテ」をはじめとする事業を通じて、お客様の重要な情報資産(患者の診療情報等の要配慮個人情報を含みます。)をお預かりしています。当社は、これら情報資産を脅威から保護することが事業継続および社会的信頼の基盤であると認識し、ここに情報セキュリティ基本方針(以下「本方針」といいます。)を定め、組織全体で情報セキュリティの確保に取り組みます。

第1条(目的)

本方針は、当社が取り扱う情報資産の機密性(Confidentiality)、完全性(Integrity)および可用性(Availability)を維持し、情報セキュリティに関する事故を未然に防止するとともに、万一事故が発生した場合の影響を最小限に抑えることを目的とします。

第2条(適用範囲)

本方針は、当社のすべての役員および従業者(正社員、契約社員、派遣社員、アルバイトその他名称を問わず当社の業務に従事する者を含みます。)、ならびに当社が取り扱うすべての情報資産および情報システムに適用します。業務委託先に対しても、本方針に準じた取扱いを求めます。

第3条(情報セキュリティの定義)

本方針において情報セキュリティとは、次の3要素を維持することをいいます。

  • 機密性:認可された者だけが情報にアクセスできる状態を確保すること
  • 完全性:情報および処理方法が正確かつ完全である状態を確保すること
  • 可用性:認可された利用者が必要なときに情報および関連資産にアクセスできる状態を確保すること

第4条(管理体制)

当社は、代表取締役の統括のもと、情報セキュリティを統括する責任者(情報セキュリティ責任者)を任命し、情報セキュリティ管理体制を整備します。情報セキュリティ責任者は、情報セキュリティに関する規程の整備、リスクアセスメントの実施、是正措置の推進および本方針の維持・運用に責任を負います。

第5条(情報資産の管理とリスクアセスメント)

当社は、保有する情報資産を識別・分類し、その重要度に応じた管理策を適用します。情報資産に対する脅威および脆弱性を定期的に評価するリスクアセスメントを実施し、その結果に基づいて適切な管理策を選択・実施します。

第6条(安全管理措置)

当社は、情報資産を保護するため、次の安全管理措置を講じます。

組織的・人的措置

  • 情報セキュリティに関する規程・手順の整備と周知
  • 役割と責任の明確化、権限の適切な付与
  • 役員・従業者に対する定期的な教育・訓練の実施
  • 秘密保持に関する誓約の取得

物理的措置

  • 執務エリア・サーバ設備への入退室管理
  • 情報機器および記録媒体の盗難・紛失・不正持出しの防止

技術的措置

  • 利用者認証およびアクセス権限の最小化(必要最小限の原則)
  • 通信経路および保存データの暗号化
  • アクセスログ・操作ログの取得、保存および監視
  • マルウェア対策、脆弱性管理およびセキュリティ更新の適用
  • ネットワークの分離・防御(ファイアウォール等)と不正アクセスの検知
  • バックアップの取得および復旧手順の整備

第7条(医療情報の取扱いと関係ガイドラインの遵守)

当社は、医療情報を取り扱う事業者として、個人情報保護法に加え、厚生労働省「医療情報システムの安全管理に関するガイドライン」および経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(いわゆる「3省2ガイドライン」)の趣旨に準拠した安全管理を行います。診療情報等の要配慮個人情報については、特に厳格な管理を実施します。

第8条(法令・規範の遵守)

当社は、情報セキュリティに関する法令、国が定める指針その他の規範、および当社が締結した契約上のセキュリティ要求事項を遵守します。

第9条(委託先の管理)

当社は、業務の一部を外部に委託する場合、委託先の情報セキュリティ水準を評価し、契約により必要なセキュリティ要求事項を課したうえで、その遵守状況を適切に監督します。

第10条(インシデント対応と事業継続)

当社は、情報セキュリティに関する事故(インシデント)の発生に備え、検知・報告・対応・復旧および再発防止のための体制と手順を整備します。インシデントが発生した場合は、被害の拡大防止および速やかな復旧に努めるとともに、影響を受けるお客様および関係当局への報告等を法令に従い適切に行います。

第11条(教育および周知)

当社は、役員および従業者に対し、本方針および関連規程について定期的に教育・訓練を実施し、情報セキュリティに対する意識の維持・向上を図ります。

第12条(継続的改善)

当社は、情報セキュリティを取り巻く環境の変化、技術の進展、内部監査およびインシデントから得られた教訓を踏まえ、本方針および情報セキュリティ管理体制を定期的に見直し、継続的に改善します。

第13条(本方針の公開と改定)

本方針は、当社ウェブサイト等を通じて公開します。当社は、必要に応じて本方針を改定することがあり、重要な変更を行う場合は適切な方法で周知します。

制定日:2026年6月18日
株式会社ポテック 代表取締役 有村琢磨

情報セキュリティ基本方針 | 株式会社ポテック