【介護業界動向コラム】第8回 介護事業者におけるセキュリティ対策の重要性（前編）

第8回と第9回の2回に渡り、介護事業者においてICT活用を進めていく上で避けることができない「セキュリティ対策」について解説していきます。

ニュースや新聞を見ていると、連日のように企業でのランサムウェア感染や情報漏洩などのセキュリティ事故が報じられているのを目にします。例えば、大阪急性期・総合医療センターで発生したランサムウェア攻撃事例では電子カルテシステムが使用不能になり、紙カルテでの運用を余儀なくされるなど長期間にわたり業務に大きな支障が生じました。

もちろん、セキュリティ事故は介護事業者にとっても他人事ではありません。実際に介護事業者でもランサムウェア感染や、ウイルス感染により外部に情報が送信され情報漏洩する事例は発生しています。また、その他にもメールやFAXの誤送信、従業員による情報記録媒体の紛失や置き忘れ、あるいは内部不正など、情報漏洩は様々な原因で起こります。介護事業者においてこれらの事故の発生は事業運営に深刻な影響を及ぼす可能性があるため、予防のための対策を講じることが必要です。

理由は、介護事業者は個人情報保護法における「個人情報取扱事業者」であるからです。個人情報保護法では個人情報データベース等を事業の用に供している者を個人情報取扱事業者としているため、介護記録ソフト等のシステムやExcelのファイルなどで利用者の情報を1件でも保存している介護事業者はこれに該当します。

個人情報保護については介護現場のみなさんも法定研修で学んでいると思いますが、取り扱いのルールを破ると、個人情報保護委員会（PPC）から注意や命令を受けることがあります。また、要配慮個人情報が漏れてしまった場合や、その可能性がある場合は、必ず個人情報保護委員会（PPC）に報告しなければなりません。このように、介護事業者は個人情報を保護する責任を負っているため、万が一情報漏洩が発生すれば、地域や利用者からの信頼を失い、場合によっては事業継続が困難になるというリスクを伴います。

情報漏洩を起こさないための対策としては、個人情報の管理とは別に、個人情報を扱うICTの管理が重要になります。具体的には、介護記録ソフトのユーザーアカウントやパスワード管理、Excelファイルが保存されたサーバーへのアクセス権管理、PCやスマートフォンなどの端末管理などが挙げられます。ICTの活用は業務効率化に役立ちますが、導入が進むほどセキュリティリスクも高まります。

ICTの管理を行うためにはルールが必要になるため、情報管理規定を作成し、ソフトウェアや機器の運用方法を詳細に定めます。また、情報管理規定には事故発生時の対応手順も記載します。セキュリティ事故を完全に防ぐことは難しいですが、事前に対応手順を定めておくことで、発生時に冷静に対処し、被害を最小限に抑えることができます。加えて、事故発生時の対外的な報告義務を果たす上でも、情報管理規定に基づいた適切なICT運用が不可欠です。もし現在、情報管理規定がない状態でICTを運用しているのであれば、早急な対応をお勧めします。

次回のコラムでは、情報管理規定の策定に役立つ情報や、セキュリティ対策に有効なICTに関する情報をお伝えします。