情報セキュリティとは
情報セキュリティとは、情報資産を機密性、完全性、可用性の3つの側面から保護することで、コンピューターシステムやデータベース、ネットワーク、ソフトウェア、そして人々の行動に関するセキュリティに対して気をつけなければなりません。
情報セキュリティの主な目的は、不正アクセスやハッキング、悪意のあるソフトウェアやウイルス、情報漏えい、サイバー攻撃などから情報を保護することです。情報セキュリティは、機密情報の漏洩や損失を最小限に抑え、企業や組織の信頼性を高め、法的な規制や法律を遵守することができます。
情報セキュリティの脅威
IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て「情報セキュリティ10大脅威 2023」が発表されました。
「個人」の立場と「組織」の立場でのランキングはそれぞれ以下になります。
| 前年 順位 | 「個人」向け脅威 | 順位 | 「組織」向け脅威 | 前年 順位 |
|---|---|---|---|---|
| 1 | フィッシングによる個人情報等の詐取 | 1 | ランサムウェアによる被害 | 1 |
| 2 | ネット上の誹謗・中傷・デマ | 2 | サプライチェーンの弱点を悪用した攻撃 | 3 |
| 3 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3 | 標的型攻撃による機密情報の窃取 | 2 |
| 4 | クレジットカード情報の不正利用 | 4 | 内部不正による情報漏えい | 5 |
| 5 | スマホ決済の不正利用 | 5 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4 |
| 7 | 不正アプリによるスマートフォン利用者への被害 | 6 | 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) | 7 |
| 6 | 偽警告によるインターネット詐欺 | 7 | ビジネスメール詐欺による金銭被害 | 8 |
| 8 | インターネット上のサービスからの個人情報の窃取 | 8 | 脆弱性対策情報の公開に伴う悪用増加 | 6 |
| 10 | インターネット上のサービスへの不正ログイン | 9 | 不注意による情報漏えい等の被害 | 10 |
| 圏外 | ワンクリック請求等の不当請求による金銭被害 | 10 | 犯罪のビジネス化 (アンダーグラウンドサービス) | 圏外 |
介護現場と情報リスク
介護現場においては、患者や利用者の個人情報や健康状態など、機密性が高い情報が扱われるため、以下のような情報リスクが考えられます。
- 情報漏えい
患者や利用者の個人情報が漏えいした場合、プライバシーや人権侵害となる恐れがあります。また、情報漏えいにより企業や組織の信頼性が失われることがあります。 - 不正アクセス
情報システムに不正にアクセスされ、情報を盗まれたり、改ざんされることがあります。不正アクセスにより、健康情報や個人情報が不正に利用される可能性があります。 - ソーシャルエンジニアリング
電話やメールなどを通じて、社員や利用者から情報を騙し取る手法があります。例えば、偽のメールアドレスから送られた「緊急の問題が発生したため、パスワードを変更してください」というメールに対して、社員が本来のパスワードを教えてしまうことがあります。 - システム障害
システムに障害が発生すると、利用者の健康情報や医療情報が取得できなくなるため、健康状態の判断や適切な治療ができなくなる可能性があります。 - 機器盗難
情報が保存された機器が盗難されると、個人情報や健康情報が漏えいする可能性があります。 - 患者・利用者の個人情報の取り扱いの誤り
手書きの書類や電子的なデータを間違って廃棄する、保存する場所を間違える、誰でも見ることができる場所に置いてしまうなどの誤りがあると、個人情報漏えいのリスクが高まります。
上記のような情報リスクに対応するためには、適切な情報セキュリティ対策を行い、社員の教育やトレーニングを実施することが重要になります。
介護会社の情報セキュリティに対する取り組み
介護を運営する会社においても、利用者や従業員の個人情報や医療情報などの機密情報を適切に管理するために情報セキュリティが重要な課題となっています。以下は、介護を運営する会社における情報セキュリティに関する取り組みの一例です。
- リスクアセスメント
介護サービスの提供において、どのような情報が収集・保存され、どのようなリスクがあるかを明確にする。 - 情報セキュリティポリシー
機密情報の管理、アクセス制御、データの暗号化、情報漏洩対策、社員の教育など、情報セキュリティに関する方針を策定する。 - ネットワークのセキュリティ
社内ネットワークのセキュリティ強化や、VPNを使用して外部との通信の暗号化を行う。 - アクセス制御
システムにアクセスするためのパスワードやID、ロックアウト機能、アクセス権限の設定などを行い、不正アクセスを防ぐ。 - セキュリティ監視
セキュリティ侵害の検知やセキュリティイベントの監視を行い、リアルタイムで対応する。 - 教育とトレーニング
社員に対して、情報セキュリティの重要性や機密情報の取り扱いについてのトレーニングを行う。 - セキュリティテスト
定期的にセキュリティテストを実施し、システムやアプリケーションの脆弱性を洗い出し、改善する。
まとめ
以上のような情報セキュリティに関する対策を適切に実施することで、介護サービスの利用者や従業員の個人情報や医療情報などの機密情報を適切に管理することができます。また、情報漏えいや不正アクセスなどのリスクを最小限に抑え、企業や組織の信頼性を高めることができます。厚生労働省が推し進める介護現場におけるICTの利用促進について理解を深めるとともに情報リスクについて把握する必要がありそうです。