【介護業界動向コラム】第9回 介護事業者におけるセキュリティ対策の重要性（後編）

第9回では引き続き、介護事業者においてICT活用を進めていく上で避けることができない「セキュリティ対策」について解説していきます。前回は、情報漏洩等のセキュリティ事故を起こさないためには個人情報を扱うICTの管理が重要であることから、情報管理規定の策定が必要とまとめました。

実際に規定の策定を進めていくにあたっては、IPA（独立行政法人情報処理推進機構）が公開する「中小企業の情報セキュリティ対策ガイドライン」および付属資料が参考になります。

【参考】独立行政法人情報処理推進機構、セキュリティセンター中小企業の情報セキュリティ対策ガイドライン

介護事業者向けのICT関連補助金を申請する際にはIPAが行う「SECURITY ACTION自己宣言」が必要であるため、当ガイドラインをご覧になったことがある方もいらっしゃるかと思いますが、資料には情報セキュリティに関する考え方や具体的に規定に盛り込むべき内容が、図表などを用いて分かりやすくまとめられています。多くの介護事業者にとって、いきなり100点満点の規定を作り、その通りに実施することは容易ではありませんが、情報セキュリティ関連規定のサンプルファイルを参考にすれば、自法人の状況に合わせた規定を作成することが出来ますので活用しましょう。また、厚生労働省は介護事業者に対し、「医療情報システムの安全管理に関するガイドライン」の遵守を推奨していますが、内容が高度であるため、初めて規定の整備に着手する場合は、まずは「中小企業の情報セキュリティ対策ガイドライン」の内容から取り組むと良いでしょう。

さて、ここまで説明した情報管理規定の策定は、ICTの運用面からのセキュリティ対策です。一方で、セキュリティ対策と聞くと、セキュリティソフトやUTM（統合脅威管理）などの具体的なテクノロジーの導入を思い浮かべる方も多いでしょう。当然これらの活用は重要になりますが、中には業者に勧められるまま、何がどのような役割を果たすのかを十分に理解せず、過剰に導入してしまっている事業所も見受けられます。昨今、第7回までのコラムで述べてきたICTツールの導入が進んでいる介護事業者が増え、Wi-Fi環境の整備も進んでいる中で、事業所内のICT環境は以前と大きく変わっており、セキュリティ対策ツールや業務利用するサービスを選定する際には、何をどこからどのように守るべきかをしっかりと考える必要があります。

例えば、従来セキュリティソフトといえば、ウイルス対策のようにパソコンへの脅威が侵入するのを事前に防ぐもの（EPP）が中心でした。しかし昨今は、様々な脅威の侵入を完全に防ぐことは難しいため、万一侵入された際にいち早く気付き、情報漏洩や改ざんなどの被害をできるだけ小さくするための機能を持ったもの（EDR）を合わせて活用することが、推奨されています。また、事業所内に置いているファイルサーバーをインターネット上のクラウドストレージサービスに置き換えるといった対応によってもセキュリティ面の向上が望めます。クラウドストレージではデータが暗号化されるものが多く、細かいアクセス権の設定や、複数の認証方法を組み合わせたログイン制御ができ、第三者による不正利用を防ぐ機能で安全性を高めることが可能です。

以上、2回に渡りセキュリティ対策について概観してきました。これから介護事業者ではますますICT活用を進めていかなければならないため、情報管理規定の整備・運用といった組織的対策と、セキュリティを高めるICTツール選定といった技術的対策の両面での対応をきっちりと行い、利用者や従業員を守れるように取り組んでいきましょう。