キャリアアップ
初めてのインターネットセキュリティ その2 LIFE(科学的介護システム) 活用にあたって
介護の現場に必要な「革新」や「確信」や 「核心」をその分野の専門家に伺います。
業者に任せきりにしないためにも セキュリティの知識をもちましょう
LIFEの活用では、パソコンをインターネットに接続し、無線LAN(Wi−Fi)などのネットワークを経由してデータの入力や情報の入手を行います。外部の施設や利用者とのやり取りにも利用でき、大変便利になる一方、外部のネットワークと接続することは、不正な侵入や、情報を奪取されるなどさまざまな危険も増えることになります。そこで、必要になるのがサイバーセキュリティ対策です。
実際には専門の業者に依頼する部分も多くなると思いますが、施設の担当者自身もしっかり理解しておくことが、費用の節約やLIFEのよりいっそうの活用にもつながるのではないでしょうか。
施設に例えれば、感染症を防ぐために手洗いやマスクを徹底したり、不審者が入ってこないように、受付で身分証明書の提示を求めたりするのと同じような対策です。職員の方の「顔パス」はまさに顔認証です。
セキュリティ対策としては不正なアクセスやウイルス感染を防ぐために許可された機器だけがつながるようにするなど、信頼できるパソコンや装置の接続だけを許可したり、ウイルス対策ソフトを入れたり、システムの弱点(=「脆弱性」=穴やモレがないか)をなくすためにOSやアプリを最新のバージョンにするなど定期的に点検して修正します。
不審者が入ってこないように警備を万全にし、ご利用者の徘徊にも注意して、見守りカメラなどを活用するのと同じような対策です。
セキュリティ対策としては、不正なアクセスを防いだり、検知したり、不適切なサイトへのアクセスを遮断するための装置を導入して監視を行います。また、万が一侵入された場合に備えて、外部との通信を記録(ログを取る)し、正常に動いているかを定期的に確認します。
建物なら誰がどの部屋の鍵を持っているかの管理を徹底し、大事な部屋には異なる鍵を2つつけて、それぞれを別の職員が持つという方法をとる場合もあるでしょう。失くした場合は紛失届が必要になることもあります。
セキュリティ対策では、「パスワード+スマホ通知」などの二重チェック(=二要素認証)を導入。ログイン失敗回数の制限や、管理者の操作に制限をかけるなど、誰がいつ、どの機能を使えるかをきちんと管理します。加えて、同じIDやパスワードをみんなで使用したり、各自の同じIDとパスワードを違うログインに使用したりしてはいけません。ログインごとに異なったIDとパスワードを使用しましょう。
大事な書類はセーフティボックスに入れ、通帳とハンコは同じところに保管しないなどの盗難防止の対策を実践されている方も多いでしょう。
インターネット上での情報の漏えいや奪取は、パソコンなどに侵入されて盗まれたり、外部との情報の送受信中に盗聴されたりして起こります。そのため大事な情報は、必ずTLS(Transport Layer Security)化と呼ばれる規約にのっとった暗号化をしたうえで保管し、情報を送受信する場合も同様に暗号化し、外部のサイトにアクセスする場合には、そのサイトとの通信が暗号化されていることも確認しましょう。
誰でもお金の取り扱いには慎重になります。金銭を扱う部屋の入室を制限したり、金融機関は信頼のおけるところを選びたいと思うでしょう。
これと同じようにパソコンを使用する執務室や情報を保存するサーバールームは施錠し、パソコンに盗難防止ワイヤーを巻き付けておけば、持ち出しへの抑止力になります。
さらに情報を保管するクラウドサービスは、信用できるところを選びましょう。政府機関向けに利用を認定されたISMAP認定サービスの利用も信用度の目安になります。
大地震や洪水で事業継続がストップしないように、エネルギー源や回線の予備、食料品の備蓄を用意することは必須になってきています。
同様にシステムやパソコンでも災害やサイバー攻撃などで利用できなくなった場合に備えなければなりません。重要な情報は別のデータ保管装置(外付けハードディスクなど)や施設以外の場所に保存しておくことが有効な対策です。こうした「バックアップ」からの復旧方法などが、いざという時にすぐに分かるように、事業継続計画の一環として「サイバーセキュリティBCP対策」を作っておくことをお勧めします。
仕事を依頼する業者さんを決める時には、信頼できる人にお願いしたいと思うはず。施設などでは同業者や加盟団体に紹介してもらうケースも多いでしょう。
インターネットセキュリティ対策に外部の事業者を利用する場合は、以下の通り、目的に合わせて業者の確認をするようにしましょう。
1 施設内のネットワークに接続する業務用機器(監視通報機器など)を導入する場合は、その業務用機器が信頼できる製品であるかどうかを確認する。
2 外部の事業者のシステムと施設のネットワークを接続する場合は、外部事業者のセキュリティ対策を確認する。
3 施設のITシステムやネットワークの構築、コンサルティング・運用などを依頼する場合は外部事業者のセキュリティの取り組みを確認する。
「正当な理由がなく、その業務上知り得た利用者又はその家族の秘密を漏らしてはならない」という守秘義務は遵守しなければなりません。
デジタル時代には、個人情報の取り扱いにはいっそうの注意が必要になります。データとして保管する場合は暗号化し、保管場所をしっかりと定めることが重要です。
5月号でもふれたように、USBメモリーやSDカードなどは紛失しやすいので原則、使用禁止にしましょう。
防犯・防災対策と同じように セキュリティ対策を!
介護現場で「LIFE(科学的介護システム)」を使い始めると、インターネット経由で大切な利用者情報が行き来します。今回は厚生労働省の資料(P27)でリストアップされている、介護施設で想定されるセキュリティ上の脅威・リスクへの対応策をかみ砕いて説明しました。
これらの対策をひとつ一つ実現することで、LIFEへの取り組みもスムーズになり、ご利用者の安心と安全を守ることにもつながります。
インターネットやデジタルシステムを活用するうえで、そのセキュリティ対策は避けては通れません。今まで職員みんなで施設の防犯や防災対策をしてきたのと同じように、これからはぜひインターネットセキュリティも心掛けてください。
