３．各事業年度の業務に係る目標、計画、業務実績、年度評価に係る自己評価
法人の業務実績・自己評価
中期目標

中期計画

年度計画

主な評価指標

主務大臣による評価
業務実績

３

情 報 セ キ ュ リ ５ 情 報 セ キ ュ リ ５ 情 報 セ キ ュ リ ＜主な定量的指標＞
ティ対策の強化
ティ対策の強化
ティ対策の強化
なし

地域の医療機能
の向上及びＪＣＨ
Ｏの業務最適化の
観点並びに「政府機
関等のサイバーセ
キュリティ対策の
ための統一基準群」
を踏まえ、情報セキ
ュリティポリシー
等関係規程類を適
時適切に見直すと
ともに適切な情報
セキュリティ対策
を講じることによ
り、診療機能に影響
が及ばないよう情
報システムに対す
るサイバー攻撃へ
の防御力及び組織
的対応能力の強化
に取り組むこと。
また、情報セキュ
リティ対策の強化
に関し、情報セキュ
リティ研修及び伝
達研修を 毎年度実
施し、標的型攻撃メ
ール訓練も併せて
実施すること。 さ
らに、本部及び各病
院を対象とした情
報セキュリティ監
査を継続的に実施
し、指 摘が多い施
設についてはフォ
ローアップを行う
こと。

最高情報セキュ
リティ責任者を中
心に情報セキュリ
ティポリシーにつ
いて、適宜、 改定を
行う。
また、情報セキュ
リティ監査に基づ
く適切な対策を図
り、情報基盤の更改
に当たっては適切
なセキュリティ対
策を講じるととも
に、情報セキュリテ
ィ対策の強化に関
し、情報セキュリテ
ィ研修及び伝達研
修を毎年度実施し、
標的型攻撃メール
訓練も併せて実施
する。
さらに、本部及び
各病院を対象とし
た情報セキュリテ
ィ監査を継続的に
実施し、指摘が多い
施設についてはフ
ォローアップを行
う。

最高情報セキュ
リティ責任者を中
心に情報セキュリ
ティポリシーにつ
いて、適宜、改定を
行う。
また、情報セキュ
リティ監査に基づ
く適切な対策を図
り、情報基盤の更改
に当たっては適切
なセキュリティ対
策を講ずるととも
に、情報セキュリテ
ィ対策の強化に関
し、情報セキュリテ
ィ研修及び伝達研
修を毎年度実施し、
標的型攻撃メール
訓練も併せて実施
する。
さらに、本部及び
各病院を対象とし
た情報セキュリテ
ィ監査を継続的に
実施し、指摘が多い
施設についてはフ
ォローアップを行
う。

＜その他の指標＞
なし

４

自己評価

情報セキュリティ対策の強化

評定

《情報セキュリティポリシーの改定》
『政府機関等のサイバーセキュリティ対策のための統一基準群』の改定を受け、Ｊ
ＣＨＯ情報セキュリティポリシーにおける情報セキュリティ対策を実施するための
関連規程等について、令和７年度施行に向けて整備を実施した。

＜評価の視点＞
情報セキュリティ 《情報セキュリティ監査の実施》
ポリシーを適宜改定
第２期中期目標期間（令和元年度～令和 5 年度）に実施した第三者機関による情報
しているか。
セキュリティ監査で明確となった改善すべき事項について、11 病院に対し実地監査
を行い、改善状況を確認するとともに、必要な助言及び指導を実施した。また、基幹
情報セキュリテ
システム等に対し脆弱性診断及び侵入テストを行い、緊急性の高い問題点がないこと
ィ研修、伝達研修や
を確認した。
標的型攻撃メール
さらに、ＪＣＨＯ情報セキュリティポリシーに基づき、本部・地区事務所及び 57 全
訓練を実施してい
ての病院職員に対して、情報システムやネットワーク等の運用管理状況について書面
るか
監査を実施した。結果に基づき、改善すべき事項については、速やかな改善指示を行
うとともに、その改善状況の報告を求めた。
情報セキュリテ
ィ 監 査 を 実 施 し て 《情報セキュリティ・個人情報保護研修》
いるか
医療機関におけるサイバー攻撃事案の確認や個人情報漏洩に対する対策方法の研
修の場として、情報セキュリティ・個人情報保護研修を部局情報セキュリティ管理者
（事務（部）長）及び伝達研修実施責任者を対象（令和６年度は 143 人を対象）に実
施した。加えて、本部・地区事務所及び 57 全ての病院職員に対して、伝達研修を実
施した。
《標準型攻撃メール訓練》
特定の個人や組織を標的とし、機密情報の窃取やサイバー攻撃を目的とする不審メ
ールを受信した際の対応訓練として、標的型メール訓練（令和６年度は 3,519 人を対
象）を実施した。

117

年度計画の目標
を達成した。

年度計画の目標
を達成した。

年度計画の目標
を達成した。