情報セキュリティの安全対策は、どんな業種でも意識しなくてはいけません。
特に医療・福祉・介護関連会社は、数多くの個人情報を取り扱っている業種なので、常に強い意識を持って安全対策を講じる必要があります。
また、医療・福祉・介護の現場では、情報セキュリティの安全がどのようなケースで脅かされるのか、事例を交えて解説したいと思います。
【医療・福祉・介護関連会社】情報セキュリティにおける現状と安全対策について
医療・福祉・介護関連会社の情報セキュリティにおける現状を確認してみましょう。
下記のデータは、「NPO日本ネットワークセキュリティ協会」によって発表された「業種別個人情報漏洩インシデント件数(2016年版)」です。
インシデントとは、簡単に言うと「情報セキュリティを脅かす大きな事故に繋がる可能性がある事例」のことを指します。
全体では
漏えい人数 1,396万5,227人
インシデント件数 468件
想定損害賠償総額 2,788億7,979万円
1件あたりの漏えい人数 3万1,453人
1件あたり平均損害賠償額 6億2,811万円
1人あたり平均想定損害賠償額 3万1,646円
業種ごとの漏えい件数は下記の通りです。
| 業種 | 件数 |
| 教育・学習支援業 | 107件 |
| 金融・保険業 | 105件 |
| 公務 | 68件 |
| 情報通信業 | 38件 |
| 医療・福祉・介護 | 25件 |
| サービス業(他に分類出来ないもの) | 16件 |
※データは2016年のもの
医療・福祉・介護業界のインシデント件数は、調査の対象となった全15業種の内5番目に多いというデータが出ています。
ここ数年、インシデント件数はどの業界も全体的に減少傾向にありますが、未だに医療・福祉・介護業界が上位にランクインしている現状は変わりません。
また、医療・福祉・介護業界でインシデントが発生する原因は以下の通りです。
- 1位:管理ミス(40%)
- 2位:紛失、置き忘れ(24%)
- 3位:不正な情報持ち出し(16%)
- 4位:盗難(8%)
- 5位:誤作動、ワーム・ウイルス、目的外使用(各4%)
※データは2016年のもの
医療・福祉・介護業界が情報セキュリティの安全を守れていない原因のほとんどが、人的要因であることが分かります。
また医療・福祉・介護業界は、特に他の業種と比べて人的要因でのインシデント発生率が高くなっているのです。
その中でも特に多いのが、「外部機器の管理ミスによる個人情報の漏洩」です。
医療・福祉・介護業界は、個人情報が入った外部機器の持ち出しや管理に関して強く制限を設け、従業員に高い情報セキュリティ管理の意識を植え付けなくてはいけません。
例えば、社内で利用するリムーバブルディスクの持ち出しを禁止するのは、当然の安全対策です。
その他、社内で使用が許可されたリムーバブルディスクと、従業員個人が所有しているリムーバブルディスクを混在しないようにするのも1つの安全対策です。
また自宅にコンピュータを持ち帰って業務をする際でも、書き出し制限を設定しておき、従業員個人のリムーバブルディスクには情報をコピー出来ないようにしておきましょう。
ただ置き忘れや紛失などに関しては、企業全体で情報セキュリティの安全について一丸となって意識するということ以外、なかなか明確な対策がないというのが現状です。
【医療・福祉・介護関連会社】情報セキュリティの安全が脅かさる事例
ここからは医療・福祉・介護関連会社における、インシデント発生の事例について紹介していきます。
事例①介護施設でのリムーバブルディスク紛失事例
滋賀県のある介護施設で、その施設に入所している5人分の個人情報が入ったリムーバブルディスクを紛失するという事例がありました。
リムーバブルディスクには、施設に入所している女性5人の氏名や生年月日、また1人1人のケアプランについての詳細が保存されていたのです。
介護施設の女性職員が、リムーバブルディスクをバッグに入れて施設外に持ち出し、そのバッグを施設外で紛失してしまったことが原因です。
この事例について介護施設の施設長は、社内規定に「外部接続機器の施設外持ち出し禁止」という項目を追加するという対策を発表しています。
この事例はもっとも典型的なケースで、始めから外部接続機器の持ち出しに関する規定を定めておけば、発生を未然に防ぐことが出来たと言えるでしょう。
事例②訪問介護センターでの個人情報盗難事例
とある訪問介護センターにおいて、訪問介護をする予定がある8人分の個人情報が記載された書類が盗難に遭うという事例が発生しました。
その訪問介護センターで勤務する女性職員は、まだ残っている作業を自宅で行うため、個人情報が書かれた書類を袋に入れ持ち帰りました。
ただセンターからすぐに帰宅せず、自家用車の中に書類が入った袋を残したまま、レストランに1度立ち寄ります。
食事を終えて車に戻ってきたときに、書類が入った袋がなくなっていることに気付いたのです。
1度センターに戻って確認しましたが、そこにも書類が見つからず、盗難に遭ったことが発覚しました。
車内にあった書類が盗難に遭った原因は、助手席側の窓を全て閉めずに車を離れてしまったことが原因です。
この事例は、従業員の情報セキュリティの安全管理に関する意識の低さが招いた事例だと言えるでしょう。
この訪問介護センターでは、個人情報が書かれた書類を持ち帰ること自体は禁止されていませんでしたが、女性職員は一刻も早く自宅に到着するべきでしょう。
その後、この訪問介護センターでは個人情報が書かれた書類、外部機器、コンピュータの持ち出しを一切禁止することになりました。
従業員が情報セキュリティの安全管理を意識しないことによって、この事例のように自宅で業務が出来なくなり、効率が悪くなってしまうケースもあるのです。
しっかり責任感を持って持ち出していれば、これからも効率良く自宅で業務を遂行することが出来たでしょう。
まとめ
繰り返しになりますが、医療・福祉・介護関連会社は、「人的要因」によって情報セキュリティの安全が脅かされるケースが多いです。
不正アクセスなど外部攻撃の対象になるケースが他の業種より低い分、内部の対策を徹底すればするほど、情報セキュリティの安全性は高められると言えるでしょう。
医療・福祉・介護関連会社は、ぜひ個人情報対策として「第三者認証マーク」の取得を目指して、従業員への指導を徹底しているということを他社や顧客にアピールしましょう。
