介護業界では、単なる個人情報にとどまらず、特に慎重な取り扱いが求められる、病歴・診断結果・障害の有無等の「要配慮個人情報」を管理しています。
これらの情報が漏洩すると、利用者への重大な不利益や精神的負担につながるだけでなく、事業所の信頼失墜や事業運営への深刻な影響を招く恐れがあります。
そこで今回は、NPO法人タダカヨの一員として、情報管理の基本対策とセキュリティ向上に貢献する具体的なツールや技術をご紹介します。
業界でも活用が進みつつある生成AIにも触れながら、適切なセキュリティ対策で「安心・快適な介護現場」を実現しましょう。
私は、清水信貴と申します。普段は埼玉県川口市の医療法人で社会福祉士、医事課職員、法人全体のICT担当として従事しながら、埼玉県医療社会事業協会のICT部門の責任者や、埼玉県南部の看護師が組織する地域連携看護師会のICT担当としても活動し、地域福祉の充実を目指しています。その一環として、情報セキュリティマネジメントの資格を取得し、日々介護現場における情報管理の重要性を実感しています。
介護現場では、「利用者の大切な情報を守りながら、日々の業務をいかに効率化するか」が大きな課題です。
セキュリティに配慮しつつ、記録や請求業務にITツールを導入することで、職員の負担を軽減し、より質の高いケアを提供できる環境づくりができます。
また、介護職をはじめとする専門職には法律で「守秘義務」が課せられています。
守秘義務を守ることは、単に「情報を口外しないこと」ではなく、情報が漏洩しないための知識を持ち、適切な対策を講じる責任を負うことを意味します。
それでは、こうした情報漏洩事故を防ぐための具体的なセキュリティ対策について詳しく見ていきましょう。
まずパソコンやスマートフォンのOSやソフトウェアを常に最新の状態に保つことは、セキュリティ対策の基本中の基本です。
たとえば、サポートが終了したWindows7や8.1を使い続けると、最新の更新が受けられず、既知の脆弱性がそのまま残ります。そのため、ウイルス感染やハッキングのリスクが高まり、業務の安全が損なわれる可能性があります。
特に今後注意が必要なのは、Windows10のサポートが2025年10月14日終了予定であることです。現場で使用する複合機や専用ソフトとの互換性を確認しながら、Windows11への移行や、セキュリティパッチの適用状況を常にチェックしなければなりません。
現場で使用する複合機や専用ソフトとの互換性を確認しながら、職場全体のIT環境を最新に保つことが、システム全体の安全性を守るための土台となります。
セキュリティの要となるのは、やはりパスワードの管理です。
例えば、次のような単純なパスワードを使用していませんか?
予測しやすいパスワードは、ハッカーに簡単に突破されるリスクが高く、個人情報が狙われる原因となります。
米国国立標準技術研究所(NIST)のガイドラインでは、15文字以上のランダムな英数字や記号を組み合わせたパスワードが推奨されています。例)
)5Dg~eM4J-*)u)N
AN!s%ZP+!kM2cSK
|fFug,p-RPg8/u&
また、異なるサービスごとにパスワードを変更することで、不正アクセスの被害拡大を防ぐことができます。
介護現場では、複数のシステムやウェブサービスを利用するため、この対策が徹底されれば、不正アクセスによる情報漏洩リスクを大幅に低減できます。
15文字以上のランダムなパスワードを生成、さらにそれを使いまわしてはいけない。
皆さん、これを徹底できるでしょうか?とても現実的な運用とは言えません。
そこで、パスワードマネージャーの登場です。これは、各サービスのパスワードを自動生成、安全に一元管理し、自動入力機能を使えばログインの手間も大幅に軽減される便利なツールです。メジャーなブラウザ(WEBサイトを閲覧するために使うGoogle ChromeやMicrosoft Edgeのようなソフトのこと)にはこの機能がついていますので、是非活用してください。
ただし、パスワードマネージャーの活用だけでは完全に安全とは言えません。なぜなら、パスワードマネージャーを管理しているGoogleアカウント自体がハッキングされると、登録されているすべてのパスワードが流出するといったリスクがあるからです。
そこで重要になるのが「二要素認証(2FA)」の導入です。
二要素認証とは、パスワードに加えて、もう1つの認証手段を組み合わせることで、セキュリティを強化する仕組みです。具体的には、次のような方法があります。
この仕組みを導入することで、たとえIDとパスワードが流出しても、第三者がログインしようとすると、登録されたスマートフォンや認証デバイスに通知が届き、本人の許可がなければアクセスできなくなります。
確かに、ログイン時にもう1つの認証を通過する手間はありますが、それによって「もしもの時」の被害を未然に防ぐことができます。大切な情報を守るために、ぜひ二要素認証を導入し、セキュリティを強化しましょう。
ここまでの内容を実践できれば、ネットワークやソフトウェアの対策はとれますが、これで安心と言えるでしょうか?
例えば、パソコンやスマートフォンが万が一盗難にあった場合、ロック画面に設定されたピンコード(通常4〜6桁以上の数字や英数字で構成)や指紋認証、顔認証がなければ、内部情報が容易に狙われるリスクがあります。
現場では、各端末に適したロック機能を必ず設定し、盗難時の被害拡大を防ぐとともに、職員が迅速に対応できる体制を整えましょう。これにより、物理的なリスクにも万全の備えができ、セキュリティレベルが大幅に向上します。
セキュリティ対策の基本として、IDやパスワード、認証方法(PINコードなど)の情報は、個人ではなく組織が管理することが重要です。なぜなら、アクセス権限の付与や管理を個人に任せてしまうと、紛失や退職時に情報が適切に管理されず、情報漏洩のリスクが高まるからです。
例えば、職員が個人の判断でパスワードを管理し、退職後もそのままアクセスできる状態が続いてしまった場合、悪意がなくても意図せず機密情報にアクセスできる状況が発生してしまいます。また、業務用端末が盗難・紛失した際、個人で設定した認証情報が流出すると、第三者に不正アクセスを許してしまう可能性があります。そこで必要なのが、「組織によるアクセスコントロール」です。
こうした対策により、退職や端末の紛失といったリスクに即座に対応でき、情報漏洩を未然に防ぐことが可能になります。
アクセス管理を個人任せにするのではなく、組織が責任を持って管理することこそが、セキュリティ強化の基本であり、情報漏洩を防ぐために不可欠な概念なのです。
ここで、近年、介護業界でも文書作成や情報整理の効率化に活用されつつあるChatGPTなどの生成AIに話を移しましょう。生成AIは、便利なツールである一方で、以下のようなセキュリティや品質面でのリスクに留意する必要があります。
AIチャットツールに、利用者や職員の個人情報、診断結果などの機密情報を入力すると、外部サーバーにデータが保存され、想定外の漏洩リスクが生じる可能性があります。
【対策】
生成AIは、実在しない情報や誤った内容をもっともらしく生成することがあります(ハルシネーション)。介護現場では、誤情報に基づいたケアプランや連絡事項が作成されると、利用者の信頼を損ねるだけでなく、重大な事故につながる可能性もあります。
生成AIは便利な反面、セキュリティや品質面での課題も抱えています。 介護現場の大切な情報を守りながら、適切にAIを活用するためにも、機密情報を入力しない運用ルールやハルシネーション対策が不可欠です。これらを踏まえた上で、AIの利便性と安全性を両立させ、日々の業務をさらに効率化していきましょう。
介護現場における業務効率化と安全な情報管理は、単に最新のITツールを導入するだけでなく、日々の運用における細やかなセキュリティ対策の積み重ねが鍵となります。OS・ソフトウェアの定期アップデート、強固なパスワード管理、パスワードマネージャーと二要素認証の併用、さらには端末の物理的セキュリティ対策といった多層的な対策を組み合わせることで、万が一の情報漏洩リスクを大幅に低減することができます。また、生成AIを活用する際は、機密情報を入力しない運用ルールの徹底やハルシネーション(誤情報生成)のリスク管理が不可欠です。AIが示す情報を鵜呑みにせず、必ず専門職が内容を確認することが求められます。
これらの取り組みは、利用者や患者の信頼を守りながら、介護現場で働く皆様が安心して本来の業務に集中できる環境づくりに直結します。今後も、最新のITツールやセキュリティ対策を柔軟に取り入れ、日々の運用をブラッシュアップすることが、現場全体の安全性向上と業務効率化に大きく寄与することでしょう。
皆様が、少しでも「安全」かつ「快適」に業務を進められるよう、今回ご紹介した対策をぜひ現場で実践していただきたいと思います。
安心して介護業務に打ち込める環境づくりは、利用者の笑顔や信頼に直結する大切なステップです。
独立行政法人 情報処理推進機構(IPA)提供
5分でできる!情報セキュリティ自社診断
情報セキュリティ安心相談窓口
ITを上手に使って、お金をかけずにより良い介護へ」をVisionに掲げ、介護事業所に無料/低コストのITツールの普及活動を行っている非営利団体。所属メンバーの多くは、社会福祉法人や医療法人で勤務しており、本業の合間を縫ってタダカヨの非営利活動に励んでいる。介護従事者のための無料オンラインPCスクール「タダスク」、高齢者施設向け無料オンラインレク「タダレク」などを主催。