東京都信用金庫健康保険組合 様

“情報新時代”に対応する先進のリスク対策に挑む。

2005年4月の「個人情報保護法」の施行を背景に、ハード面まで包括したセキュリティシステムを導入。『Seplus』の体系をベースにしたセキュリティソリューションが、組織の安全と信頼性をさらに高めています。

導入の背景・経営上の課題

運用面にハード面を加えたトータル・セキュリティへ。

東京都信用金庫健康保険組合様では、2005年4月に個人情報保護法が完全施行されたことを受けて、同年5月からセキュリティシステム導入の検討を進めていました。同組合の個人情報管理責任者でもある大山容正常務理事は、当時を次のように振り返ります。
「当健康保険組合では被保険者やその家族にとって大変重要なデータを保管しているため、個人情報保護法ができる以前からセキュリティ対策には積極的に取り組んでいました。ただ、従来の内容は運用面での施策が中心で、ハード(パソコン)面のセキュリティシステムまでは十分に構築されていなかったのです。そこを強化するのが今回のシステム導入の目的でした」

そうしたなか、具体的な課題として浮上してきたのが、『USBキーからの不正コピー制御』でした。システム導入を担当した企画広報課の高木智明課長は、「フロッピーディスクやCDなど、ほかのデバイスはすでに制御できていたのですが、USBについては対応が遅れていました。そこで最初はUSBにポイントを置いていたのですが、NJCさんからの提案を受け、よりトータルなセキュリティシステムの導入を検討することになったのです」と話します。

NJCを選択した理由

ICカードの活用と、バランスのとれた対策が決め手に。

「もともとNJCさんは私どもの医事システム構築などでお取り引きいただいていたのですが、今回はいつもとは違うセキュリティ専門部門の方にお越しいただき、満足のいくご提案をいただきました」と話すのは、保健事業部を統括する山口和男部長です。
「なかでも決め手のひとつになったのが、汎用性のあるICカードをベースにしたログオン認証・デバイス制御などのシステムでした」

NJCが行った提案は、セキュリティソリューション「Seplus」の体系から、(1)ICカードによるログオン認証とPCロック、(2)USBメモリやFDなどへの不正コピー制御、(3)PC操作やプリンタ出力の操作履歴(ログ)収集、(4)許可のない持ち込みパソコンなどの不正ネットワーク遮断、という4ステップを組み合わせたトータルなセキュリティシステムです。
「ログオン認証、デバイス制御までは他社からも提案を受けましたが、低コストでログ収集や不正侵入の遮断までカバーできる提案はNJCさんだけでした」(山口氏)
この提案が採用され、当初はUSBキー制御のみに目を向けていた取り組みが、より包括的なセキュリティ対策へと進展していきました。

導入時の工夫や苦労など

事前の操作指導等に、NJCのサポート力を活用。

セキュリティシステムの導入にともなって重要になるのは、組織としての事前準備です。とくに、職員に対して意識づけや操作指導を十分に行っておくことが、スムーズな稼動へのカギとなります。

「準備も足りないまま、いきなり日常業務に制限が課せられることになっては、職員にも抵抗感が出るでしょう。そうならないために、私どもでは導入を決定した昨年9月の時点で “こう変わるからお願いします” と職場に案内を出し、なるべく早い段階から意識をもってもらうように努めました」(大山氏)

「また、操作指導については、NJCさんにご協力いただき、集団研修や個人レベルの説明会を実施したほか、昨年12月のシステム導入時には各部署のブロックごとに再度操作説明を行い、稼動に備えました」(山口氏)

このように準備を段取りよく進めていったこともあり、同組合ではセキュリティシステムが稼動してから大きな混乱もなく、現在も比較的順調な運用が続いています。

導入後の効果

セキュリティ対策の可視化と、目に見えない意識への効果。

「リスク対策の効果というものは簡単にはあらわしにくいと思いますが、一つ言えるのは、従来運用面で行ってきた無形のセキュリティ対策を、ハード面の“目に見えるカタチ”に落とし込むことができた。つまりこれだけの対策をやっている、という仕組みを明確に示せるようになったことは大きな成果だと考えています」(大山常務理事)

一方、山口氏と高木氏は「職員一人ひとりの意識の面でも効果があるのでは」と話します。
「もともと個人データの取り扱いについては職員一人ひとりが十分注意していましたが、ログイン認証に必要なICカードを各人で管理するようになって、セキュリティへの意識がより高まりました」(山口氏)
導入後から現在まで、セキュリティ上でのトラブル発生はほぼ皆無。この状況について高木氏は「もちろん不正がないということと同時に、操作やコピーがすべてログ収集で判明してしまう仕組みのために、職員自身も“余計な操作”は控えるべきとの自覚が強まったはず。そうした抑止効果も少なからずあると思います」と話します。

今後の展開

事務所内のLANから、さらに外部に向けたセキュリティ対策へ。

今後の展開について山口氏は、「現在はインターネットのLANと業務用LANを分けていますが、次の段階では、外部へのネットワークを介した情報サービス提供も必要になっていくでしょう。その際にどのようなリスク対策をしていくかが今後の課題です」と話します。例えば、事業所に医師や保健師が訪問するため、被保険者の健康診断のデータをノートに写して持っていく――この一連の作業を効率化するためには、情報を提供する相手と同組合のデータをLANでつないでも安全性を確保できるようなセキュリティ対策も必要になります。

そうしたシステム強化・拡充についても、NJCの提案に期待したいという高木氏。「当健康保険組合とNJCさんの事務所が近いこともあり、質問や何か問題が発生したときにも、迅速に対応していただける点はありがたい。今後とも最新情報などの提供をお願いします」

そして最後に、大山常務理事が次のように締めくくってくださいました。
「被保険者や家族の個人情報は、当健康保険組合が事業を行い、加入者に対しサービスを提供していくためになくてはならないもの。今後とも遵守基準に基づき、その情報を安全に保護し、適正に取り扱うことを認識し、全役職員および関係者に徹底して事業展開をしてまいります」

プロフィール

東京都信用金庫健康保険組合 様

所在地 東京都千代田区神田駿河台2-9-2
創業 1953(昭和28)年1月1日
業務内容 東京都内の信用金庫並びにその関係団体、会社で働く役職員およびその家族のための健康保険事業。2006年1月現在、事業所数84、被保険者数24,700名(被扶養者を含めると約55,000名)の健康保険を管掌。
病床数 359床

医療給付を中心とした保険給付のほか、生活習慣に着目した疾病予防の重要性が高まっていることに対応して、健康教育、健康相談、健康診査などの事業を積極的に実施しています。また、保養施設を運営し、体育大会を実施するなど、被保険者やその家族に対して健康の保持増進をはかる活動を展開しています。

東京都信用金庫健康保険組合
常務理事
大山 容正(おおやま ひろまさ) 様

保健事業部 部長
山口 和男(やまぐち かずお) 様

保健事業部 企画広報課 課長
高木 智明(たかぎ ともあき) 様