情報セキュリティ方針
障害福祉事業のM&Aでは、利用者・職員・経営情報の慎重な管理が不可欠です。
当センターは、障害福祉事業のM&Aで取り扱う経営情報、利用者・職員情報、請求・支援記録を重要情報として扱い、アクセス制限、秘密保持、送付管理、削除管理を徹底します。
本方針は、株式会社M&A Doが運営する障害福祉M&A総合センターにおける情報セキュリティの基本的な取扱いを定めるものです。
1. 対象情報
| 経営情報 | 財務資料、月次資料、請求実績、加算状況、稼働率、譲渡希望条件、候補先情報 |
|---|---|
| 指定・運営情報 | 指定通知書、運営規程、変更届、重要事項説明書、契約書、運営指導結果、BCP、委員会資料 |
| 人員・労務情報 | 勤務形態一覧表、資格者情報、雇用契約、処遇改善、研修記録、職員体制 |
| 支援・請求情報 | 個別支援計画、モニタリング、サービス提供記録、国保連請求、返戻・過誤情報 |
2. 管理体制
- 案件ごとに担当者と閲覧範囲を定め、必要最小限の者だけが情報を扱います。
- 資料を受領・送付する際は、宛先、添付内容、パスワード、共有権限を確認します。
- 候補先への資料開示は、秘密保持契約、利用目的、開示範囲、譲渡企業様の同意を確認して行います。
- 社内外の関係者には守秘義務を求め、外部専門家・委託先にも適切な管理を求めます。
3. 送付・保管・削除
- メール、クラウドストレージ、オンライン会議等を利用する場合は、案件内容に応じて共有範囲を制限します。
- 資料名、本文、添付ファイルに機微な情報が過度に含まれないよう確認します。
- 不要になった資料は、契約上・法令上・業務上必要な期間を考慮して削除または匿名化します。
- 紙資料を扱う場合は、保管場所、持ち出し、廃棄方法に注意します。
4. 障害福祉情報の段階的開示
利用者、職員、家族、支援内容、医療・福祉上の配慮を要する情報は、M&Aの検討段階に応じて匿名化、要約、マスキングを行い、詳細情報の開示は秘密保持契約と必要性を確認して実施します。
5. インシデント対応
漏えい、誤送信、紛失、不正アクセス、改ざん、毀損などが疑われる場合は、速やかに事実確認、影響範囲の特定、関係者への連絡、拡大防止、再発防止を行います。法令上必要な場合は、関係機関への報告その他必要な対応を実施します。
6. お問い合わせ
情報管理、資料削除、誤送信、セキュリティに関するご相談は、苦情・相談窓口までご連絡ください。
補足. 外部サービス利用時の管理
メール、クラウドストレージ、アクセス解析、フォーム送信、サーバーログ等の外部サービスを利用する場合は、利用目的を明確にし、案件資料・個人情報の送信範囲を必要最小限にします。Google Analytics等のアクセス解析には、フォーム本文、相談内容、添付資料、利用者・職員の詳細な個人情報を送信しない運用とします。
資料名やURLに個人名、施設利用者名、健康状態、支援内容などが含まれないよう、ファイル名・共有リンク・アクセス権限の設定にも注意します。