サービス内容

情報セキュリティ研究所

情報漏えい対策への支援サービス

企業・組織の継続的な経営課題である情報セキュリティ。しかし、なぜ情報漏えいは無くならないのか? BBS情報セキュリティ研究所は、この命題に対して、「組織」とそこで働く「人」に着目して真正面から向き合い、その解決策を考えます。特に重点分野としては、BBSグループシナジーを活かした「医療分野のセキュリティ」に取り組んでいます。

BBSの考える病院・医療機関の情報セキュリティ

情報セキュリティの要諦となるのは、「組織」「人」「システム」の協働です。実際に個人情報の漏えい事故のほとんどが、個人情報を預かっている「組織」の「人」よって発生しており、多くの場合、情報漏えいは組織構造的に起こるべくして起きている実態があります。
一方、医療現場における情報漏えい事故は、症例研究や学会発表、専門医・認定医(看護師)資格取得等の医療情報(患者情報)の3次利用で発生しています。しかし、この医療情報(患者情報)の3次利用無しに医療現場は成り立たず、医療の発展もありません。このため、医療情報(患者情報)は利用を禁止するのではなく、いかに使い勝手良く、かつ安全に情報を利活用する仕組みを作るかが重要となります。
BBS情報セキュリティ研究所は、医療現場における情報漏えい事故の本質を見極め、守れないルールをつくるのでは無く、情報をいかに安全に利用するかを主眼においた病院・医療機関の情報セキュリティを提言します。

■BBSの考える病院・医療機関の情報セキュリティ (PDF:408KB)

病院向け標的型メール攻撃対策

ウィルス(マルウェア)を仕込んだ電子メールを送りつける、「標的型メール攻撃」による情報漏えい事件が頻発しており、病院・医療機関も例外なく攻撃対象となっています。未知のマルウェアが送りつけられるケースの多い標的型攻撃では、アンチウィルスに代表される従来型の技術対策だけでは、全てを防ぎきることは困難です。標的型メール攻撃は組織の「人」に対して行われることから、人的対策と技術的対策を組み合わせた「標的型メール攻撃対策」を行うことが有効です。 1.マルウェア感染調査(技術的対策) 院内のサーバやPCがマルウェアに感染していないか、専用の調査機器を期間限定で設置し現状調査を行います。これにより、マルウェアにより被害発生の有無を確認できるとともに、今後の技術的対策の導入検討の足がかりとすることができます。 2.標的型メール訓練(人的対策) 標的型攻撃メールを模擬した「訓練メール」を職員に送信することで、標的型メールに対する見分け方や対処方法を訓練します。これにより、実際に標的型メール攻撃に遭った場合に被害の拡大を防ぐことができるとともに、現状のリスクレベルの実態を把握することができます。 ※「標的型メール攻撃対策」は業界トップクラスの実績を持つBBSグループのグローバルセキュリティエキスパート株式会社(GSX)のサービスをベースに、BBSが病院・医療機関の業務特性に即して提供します。

■標的型メール攻撃対策概要 (PDF:1,911KB)

病院向けネットワーク脆弱性診断

昨今、IT技術の進歩や新たなネットワークサービスの進展により、海外からの不正アクセスを含むサイバー攻撃による情報漏えい事故が増えており、病院・医療機関への不正アクセスの実害が発生した事例が出ています。従来はクレジット会社や金融機関等が不正アクセスの対象となっていたものが、「明らかに病院医療機関もサイバー攻撃のターゲットになっている」と言えます。
ネットワークを活用した医療連携やマイナンバーに対応した医療情報の取り組み等、今後ますます病院を取り巻くネットワークサービスの重要性は増して行きます。インフラ産業へのサイバー攻撃事例にもあるように、外部ネットワークに接続していない制御機器においても、思いがけない方法で情報漏えい事故が起きる可能性があり、病院のシステム全体で安全対策を講じる必要があります。そのためには、ネットワーク脆弱性診断を実施することで、現在の病院ネットワークとシステムの弱点(脆弱性)を見極め、実現可能な対策を検討することが重要です。
ネットワーク脆弱性診断は、まず、「ネットワーク脆弱性診断」を実施し、潜在する脆弱性を検出、問題点とその原因を明らかにして、検査結果報告書を作成します。次に、検出結果を踏まえ、サーバ類の運用ベンダー様への「運用管理状況調査(ヒアリング)」を実施し、脆弱性の発生要因と今後の管理運用面での対策について、評価結果報告書を作成して、報告会で病院幹部へ報告します。

■ネットワーク診断概要 (PDF:1,586KB)

■診断事例

病院・医療機関向け情報セキュリティ研修講演

BBS情報セキュリティ研究所は、病院・医療機関向けに医療現場に即した情報セキュリティ研修講演を実施しています。外部講師による実例を交えた分かり易い研修講演を実施することにより、医師・職員の情報セキュリティに対する意識改革を促し、今後の対策実施の協力を得ることで、実効性のある情報セキュリティ構築のスタートラインとすることができます。

■ 講師プロフィール

株式会社ビジネスブレイン太田昭和
情報セキュリティ研究所 所長 小田部 昭(こたべ あきら)

個人情報保護の黎明期の2003年から、医療機関、自治体、学校・教育委員会等への個人情報保護に関する研修やセミナー・講演を120回/年以上実施し、受講者は5万人を超える。特に「情報」を取り扱う「人」に注目し、教育を通じてスタッフの意識改革を起こし、セキュリティポリシーの徹底を実現している。
現在は、情報漏洩対策のエキスパートとして、クラウド環境やIT-BCPを踏まえた個人情報・機密情報の安心安全利用について啓発活動を行っている。

長崎みなとメディカルセンター 市民病院(長崎)

長崎みなとメディカルセンター 市民病院(長崎)
「『個人情報の利活用と保護』 個人情報はなぜ漏えいするのか?どうすれば保護されるのか?そもそも保護とは何か! 」

○実施日:2014年7月28日、2014年9月5日
○講 師:小田部 昭
○参加者:114名

神奈川県立循環器呼吸器病センター(神奈川)

神奈川県立循環器呼吸器病センター(神奈川)
「『個人情報の利活用と保護』 個人情報はなぜ漏えいするのか?どうすれば保護されるのか?そもそも保護とは何か! 」

○実施日:2014年8月7日
○講 師:小田部 昭
○参加者:214名

名古屋大学医学部附属病院(愛知)

名古屋大学医学部附属病院(愛知)
「『個人情報の利活用と保護』 個人情報はなぜ保護されずに漏えいするのか?どうすれば保護されるのか?そもそも保護とは何か! 」

○実施日:2014年6月11日
○講 師:小田部 昭
○参加者:307名

神奈川県立精神医療センター(神奈川)

神奈川県立精神医療センター(神奈川)
「『個人情報の利活用と保護』 個人情報はなぜ保護されずに漏えいするのか?どうすれば保護されるのか?そもそも保護とは何か! 」

○実施日:2014年5月26日
○講 師:小田部 昭
○参加者:112名

医療法人 光晴会病院 (長崎)

医療法人 光晴会病院 (長崎)
「『個人情報の利活用と保護』 個人情報はなぜ保護されずに漏えいするのか?どうすれば保護されるのか?そもそも保護とは何か! 」

○実施日:2014年3月17日
○講 師:小田部 昭
○参加者:107名

長崎大学病院 (長崎)

長崎大学病院 (長崎)
「個人情報に係わる講習会~患者の個人情報保護について」

○実施日:2014年3月11日、2014年3月12日
○講 師:小田部 昭
○参加者:約300名