介護現場における情報漏洩防止のための最新セキュリティ対策(2025年4月版)

はじめに

本レポートは、日本の介護現場における情報漏洩を未然に防ぐための最新のセキュリティ対策について、2025年4月時点の情報を基に包括的に解説するものです。介護分野におけるデジタル化の進展は、業務効率化やサービス向上に貢献する一方で、取り扱う情報の機密性の高さと、進化し続けるサイバー脅威により、堅牢なセキュリティ対策の実施がこれまで以上に重要となっています。個人情報保護法をはじめとする法的要請、そして利用者からの信頼を守るという倫理的責務に応えるため、本レポートが実践的な指針となることを目指します。

(1) 介護現場における情報管理の重要性

介護現場では、利用者の尊厳に関わる機密性の高い情報が日常的に取り扱われており、その適切な管理は事業運営の根幹をなすものです。

  • 1.1 取り扱う情報の種類とその機密性
    介護現場で管理される情報は多岐にわたりますが、主に以下のカテゴリーに分類され、それぞれ異なるレベルの機密性が求められます。
  • 基本個人情報: 氏名、住所、生年月日、連絡先など、特定の個人を識別できる基本的な情報です 1。これらは個人情報保護法における「個人情報」に該当します。
  • 要配慮個人情報: 個人情報保護法第2条第3項で定義される、特に慎重な取り扱いが求められる情報です 1。介護現場においては、病歴、心身の障害、健康診断結果、診療・調剤情報、介護記録に記載された事実などがこれに該当し 6、不当な差別や偏見を生じさせないよう、特に配慮が必要です 1。日常的な介護業務で取り扱う情報の多くが、この「要配慮個人情報」に分類される点を認識することが極めて重要です 7
  • ケアプラン・介護記録: 個別の介護計画、提供されたサービス内容、事故報告書など、利用者の状態やケアに関する詳細な記録です 3。これらは必然的に要配慮個人情報を多く含みます。
  • 職員情報: 雇用する職員の氏名、連絡先、資格情報、人事評価など、従業員に関する情報です 12。これらも個人情報として適切に管理する必要があります。

これらの情報の中でも、「要配慮個人情報」は、漏洩した場合に本人に対する不当な差別や偏見、その他の不利益を生じさせるリスクが特に高いため、最高レベルの機密性をもって管理されなければなりません 1表1: 介護現場における主な情報種別と法的要件

情報種別

介護現場での例

主な法的根拠

主要な取扱要件

基本個人情報

氏名、住所、生年月日、電話番号

個人情報保護法 第2条第1項

利用目的の特定・通知・公表、安全管理措置、第三者提供の制限(原則本人同意)

要配慮個人情報

病歴、心身の障害、健康診断結果、診療・調剤情報、犯罪被害の事実、介護記録の内容等

個人情報保護法 第2条第3項

基本個人情報の要件に加え、取得時の原則本人同意(例外あり)、より厳格な安全管理措置

ケアプラン/記録

ケアプラン、サービス提供記録、事故報告書、モニタリング記録

個人情報保護法 (内容により要配慮個人情報に該当)、社会福祉士及び介護福祉士法 第46条

内容に応じて要配慮個人情報としての取扱い、安全管理措置、守秘義務

職員情報

氏名、連絡先、雇用契約情報、資格情報、人事評価

個人情報保護法 第2条第1項

利用目的の特定・通知・公表、安全管理措置、第三者提供の制限(原則本人同意)

 

この表は、介護施設が日常的に扱うデータとその法的背景、基本的な義務を一目で理解するのに役立ちます。特に、ケアプランや記録の多くが「要配慮個人情報」に該当するという事実は、施設全体のセキュリティ基準を引き上げる必要性を示唆しています。

  • 1.2 法的・倫理的な背景
    介護現場における情報管理は、複数の法律と倫理規範によって厳しく規律されています。
  • 個人情報保護法 (PIPA):
  • 個人情報を取り扱う全ての事業者(事業所の規模を問わない)に適用されます 7
  • 主な義務として、利用目的の特定 3、目的外利用の制限 11、適正な取得 3、データ内容の正確性の確保 3、安全管理措置の実施 2、第三者提供の制限(原則本人同意) 4、本人からの開示・訂正・利用停止等の請求への対応 10、苦情処理体制の整備 10 などが定められています。
  • 「要配慮個人情報」については、原則として取得時にあらかじめ本人の同意を得ることが義務付けられています(ただし、生命・身体・財産の保護に必要な場合で本人の同意取得が困難な場合などの例外規定あり) 1
  • 2022年の改正により、個人の権利利益を害するおそれが大きい重大な個人データの漏えい等が発生した場合、個人情報保護委員会への報告及び本人への通知が義務化されました 7
  • 守秘義務:
  • 社会福祉士及び介護福祉士には、社会福祉士及び介護福祉士法第46条に基づき、正当な理由なく業務上知り得た人の秘密を漏らしてはならないという守秘義務が課せられています 10。この義務は、資格を失った後も継続します 16
  • 同様に、介護支援専門員にも介護保険法第69条の37に基づく守秘義務があります 18。また、施設の運営基準等により、全ての従業者に対しても守秘義務が課せられています 20
  • 社会福祉士及び介護福祉士法の守秘義務違反には、1年以下の懲役または30万円以下の罰金(または他の規定で100万円以下の罰金 22)という罰則が定められています 17。これは、組織としての責任だけでなく、職員個人が刑事責任を問われる可能性があることを意味します。
  • 厚生労働省・個人情報保護委員会ガイダンス:
  • 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」は、個人情報保護法の内容を医療・介護分野の実務に即して具体的に解説した、最も重要な参照文書です 2。法令遵守と積極的な取り組み姿勢を示す上で、このガイダンスに沿った運用が求められます 2。ガイダンスは定期的に改正されるため、最新版を確認することが重要です 24
  • 倫理的責任:
  • 法的な義務に加え、利用者の個人の尊厳を守り 16、信頼関係に基づいて質の高いケアを提供するため、情報を適切に取り扱う倫理的な責任があります 2

介護現場における情報管理は、単なるITの問題ではなく、専門職としての倫理、個別の法律に基づく義務、そして組織全体のコンプライアンスが複雑に絡み合っています。特に、日常業務で扱う情報の多くが「要配慮個人情報」に該当するため、個人情報保護法の中でもより厳格なルールが標準的な運用要件となる点は、他の産業とは異なる重要な特徴です。この法的・倫理的背景を深く理解することが、効果的なセキュリティ対策の第一歩となります。

(2) 情報漏洩のリスク

個人情報の漏洩は、利用者、事業所、そして社会全体に深刻な影響を及ぼす可能性があります。

  • 2.1 情報漏洩発生時の具体的な影響
    万が一、情報漏洩が発生した場合、以下のような多岐にわたる具体的な影響が想定されます。
  • 利用者への不利益:
  • プライバシー侵害による精神的苦痛。
  • 病歴や障害といった要配慮個人情報の漏洩による差別や偏見のリスク 1
  • 氏名、住所、連絡先、場合によっては金融情報などが漏洩した場合の、なりすましや詐欺被害。
  • ランサムウェア攻撃などによりケアプランや重要な医療情報が利用できなくなった場合の、ケア提供の中断や質の低下。
  • 事業所の信用の失墜:
  • 利用者やその家族からの信頼の喪失 27。これは、既存利用者の離脱や新規利用者の獲得困難に直結します。
  • マスコミ報道等によるネガティブな評判の拡散。
  • 職員の士気低下や、採用活動への悪影響。
  • 連携する医療機関や行政機関との関係悪化。
  • 法的責任:
  • 個人情報保護法違反に対する個人情報保護委員会からの指導、勧告、命令、そして罰金 12
  • 被害を受けた利用者からの損害賠償請求訴訟 27
  • 職員が社会福祉士及び介護福祉士法等の守秘義務に違反した場合の刑事罰 17
  • 介護保険法に基づく指定取り消し等の行政処分。
  • 経済的損失:
  • インシデント対応費用(原因調査、フォレンジック、弁護士費用、利用者への通知費用など) 14
  • システムの復旧、セキュリティ強化のための追加投資。
  • 身代金要求(ランサムウェアの場合。支払いは推奨されません)。
  • サイバー保険の保険料増額。
  • 事業中断や評判低下による収益の減少。

これらの影響は相互に関連し合い、事業所の存続そのものを脅かす可能性があります。

  • 2.2 リスクの深刻さを示す事例
    近年、介護・医療分野を含む様々な組織で情報漏洩インシデントが発生しており、そのリスクは決して他人事ではありません。
  • ランサムウェア攻撃: サイバー攻撃の中でも特に深刻な被害をもたらす脅威です 29
  • ニチイホールディングス事例 (2024年): 大手介護事業者である同社グループがランサムウェア攻撃を受け、子会社のPCを含む20台のPCが感染し、約2万6千件のファイルが暗号化されました 32。基幹システムへの影響はなかったものの、業務への支障や潜在的な情報流出リスクが懸念されました 32。この事例は、介護事業者も高度なサイバー攻撃の標的となり得ることを明確に示しています。
  • 医療機関の事例: 電子カルテシステムが停止し長期間診療に支障が出た事例 30 や、数万人規模の患者情報が流出した事例 31 など、医療機関を標的としたランサムウェア被害は後を絶ちません。
  • 物理媒体の紛失・盗難: 基本的な管理ミスによる漏洩も依然として多く発生しています。
  • 介護施設の職員が、利用者の氏名、生年月日、ケアプラン情報などが保存されたUSBメモリを、施設外への持ち出し禁止規定に反して持ち出し、紛失する事例が報告されています 35
  • 業務用のスマートフォンやタブレットの紛失・盗難も同様のリスク要因です 28
  • 誤送信・誤公開: 人為的なミスによる漏洩も頻発しています。
  • 個人情報を含むメールやFAXを誤った宛先に送信してしまう 27
  • ウェブサイトに個人情報を含むファイルを誤って公開してしまう 37
  • 介護保険関連の通知書を別人に送付してしまう 38
  • 職員が強風で個人情報記載書類を飛ばしてしまう 39
  • 内部不正・不適切利用:
  • 職員がSNSに利用者のカルテ情報などを不適切に投稿する 37
  • 退職した職員が在職中に得た情報を不正に利用する。
  • 情報を不正に持ち出し、外部に販売する 35
  • サプライチェーン攻撃: 取引先や委託先のソフトウェア・サービス提供事業者の脆弱性を突いて、間接的に攻撃を受けるケースです 29。例えば、物流倉庫会社のシステムへのサイバー攻撃により、委託元の顧客情報が漏洩する事例がありました 32

これらの事例からわかるように、介護現場における情報漏洩リスクは、高度なサイバー攻撃から日常的なヒューマンエラーまで、多岐にわたります。特に、介護現場で扱われる情報の多くが要配慮個人情報であること、そしてサービスの受け手が高齢者という脆弱な立場にあることを踏まえると、情報漏洩がもたらす影響は他の産業と比較しても格段に深刻です。事業所の規模に関わらず、全ての介護事業者がこれらのリスクを認識し、対策を講じる必要があります。基本的なセキュリティ対策の徹底と、高度化する脅威への対応の両輪が不可欠です。

(3) 基本的なセキュリティ対策(総論)

情報漏洩を防ぐためには、まず組織全体で基本的なセキュリティ対策を確実に実施することが不可欠です。これらは、あらゆる情報システム利用における土台となります。

  • 3.1 OS・ソフトウェアのアップデート
  • 重要性: オペレーティングシステム(OS)やソフトウェアには、セキュリティ上の欠陥である「脆弱性」が発見されることがあります。攻撃者はこの脆弱性を悪用してシステムに侵入したり、マルウェアを感染させたりします。ソフトウェア開発元が提供するアップデート(更新プログラム)は、これらの脆弱性を修正するために不可欠です 40。独立行政法人情報処理推進機構(IPA)も、「情報セキュリティ5か条」の第一条としてOS・ソフトウェアの最新化を挙げており、基本的な対策としての重要性が強調されています 40
  • 実施プロセス: 可能であれば、OSやソフトウェアの自動更新機能を有効にすることが推奨されます。しかし、業務への影響を考慮し、手動で管理する必要がある場合もあります。その際は、OS(Windows, macOS, iOS, Android等)、業務アプリケーション(介護記録ソフト、オフィスソフト等)、ウェブブラウザなど、利用している全てのソフトウェアについて、定期的にアップデート情報を確認し、速やかに適用するプロセスを確立する必要があります 42。特に、セキュリティに関わる修正(セキュリティパッチ)は優先的に適用すべきです 42。重要なシステムについては、可能であれば検証環境でアップデートの影響を確認してから本番環境に適用することも検討します 42。IPAなどの公的機関が発信する脆弱性情報や注意喚起を常に確認する体制も重要です 42
  • 3.2 強固なパスワード設定とパスワードマネージャー
  • パスワードの強度: 短く単純なパスワードは容易に推測されたり、ツールによって破られたりします。米国国立標準技術研究所(NIST)のガイドライン草案(SP800-63B-4)では、最低8文字、推奨15文字以上の長さが示唆されています 44。単純な単語や個人情報(氏名、生年月日、電話番号など)を避け、長く、推測されにくい「パスフレーズ」(複数の単語の組み合わせなど)を設定することが推奨されます 40。一方で、NIST SP800-63Bでは、大文字・小文字・数字・記号の混在を強制するような複雑性要件や、侵害の証拠がない限り定期的なパスワード変更を強制することは、かえって利用者が推測しやすいパターンに頼る原因となるため、推奨されていません 44
  • パスワードの使い回し禁止: 複数のサービスで同じパスワードを使い回すことは絶対に避けるべきです 40。一つのサービスからパスワードが漏洩した場合、他のサービスにも不正ログインされる「クレデンシャルスタッフィング攻撃」の被害に遭うリスクが非常に高まります。
  • パスワードマネージャーの活用: 多数のサービスで異なる強固なパスワードを記憶・管理することは現実的ではありません。そこで、パスワードマネージャー(パスワード管理ツール)の利用が強く推奨されます 47。これらのツールは、強力でユニークなパスワードを自動生成し、暗号化された安全な状態で保管します 47。また、ログイン情報を自動入力する機能は、利便性を高めるだけでなく、フィッシングサイトへの誤入力を防ぐ効果も期待できます。パスワードのコピー&ペーストを許可することで、パスワードマネージャーの利用を促進できます 46。専用ツール(Bitwarden, 1Password, Keeperなど 47)とブラウザ搭載機能(Googleパスワードマネージャーなど 48)にはそれぞれ利点・欠点があるため、組織のポリシーやニーズに合わせて選択します 48
  • 3.3 二要素認証(2FA)の導入
  • 概念: 二要素認証(2FA)または多要素認証(MFA)は、ログイン時にパスワード(知識要素)に加えて、別の種類の認証要素を要求する仕組みです 51。これにより、パスワードのみの認証に比べてセキュリティが大幅に向上します。
  • 認証要素: 認証には主に3つの要素があります。「知識要素」(パスワード、PINなど)、「所有要素」(スマートフォンアプリ、SMSコード、ハードウェアトークン、ICカード、電子証明書など)、「生体要素」(指紋、顔、静脈など)です 51。2FAは、これらのうち異なる種類の要素を2つ組み合わせます(例:パスワード+SMSコード) 51。単にパスワードを2回入力するような「二段階認証」とは区別されます 53
  • メリット: パスワードが漏洩した場合でも、攻撃者は第二の要素(例:本人のスマートフォンに送られるコード)を持っていないため、不正ログインを防ぐことができます 40。厚生労働省のガイドラインでも、医療・介護情報システムにおける2FAの導入が強く推奨、あるいは将来的に要求される方向性が示されています 55
  • 導入方法: 一般的な方法として、SMSや音声通話で送られるワンタイムパスワード 53、認証アプリ(Google Authenticator等) 51、物理的なハードウェアトークン 51、プッシュ通知、デバイス搭載の指紋・顔認証 51、クライアント証明書 52 などがあります。メールアカウント、介護記録ソフト、VPNアクセス、各種クラウドサービスなど、重要なシステムへのログインには積極的に2FAを導入すべきです。
  • 3.4 物理的セキュリティ
    情報システムだけでなく、情報が記録された機器や書類、それらが保管されている場所に対する物理的な保護も不可欠です。
  • 端末の保護: PCから離れる際は必ず画面をロックする習慣を徹底します。PCやスマートフォンには、推測されにくいパスワード、PIN、または生体認証を設定します 58。共用スペースにあるPCには、盗難防止用のワイヤーロックを使用することも有効です 59
  • 執務空間の保護: PC画面が他の人から覗き見されないように配置を工夫します(のぞき見防止) 60。必要に応じてプライバシーフィルターを使用します。机の上に機密情報を含む書類を放置しない「クリアデスク」を実践します。
  • 書類の管理: 個人情報が記載された紙媒体の書類は、施錠可能なキャビネットや保管室で管理します 59。不要になった書類は、復元不可能な方法(シュレッダー処理や溶解処理)で確実に廃棄します 2。プリンターや複合機周辺の書類放置にも注意が必要です。
  • 施設・区画へのアクセス管理: 施設全体、およびサーバールームや記録保管庫などの重要区画への入退室管理を行います 59。鍵管理の徹底、ICカード認証、場合によっては生体認証システムの導入も検討します 59。来訪者に対しては、記帳、名札着用、職員の帯同などのルールを設けます 3。防犯カメラの設置も抑止力と事後追跡に有効です 59
  • 記録媒体の管理: バックアップ媒体は安全な場所に保管します。私物のUSBメモリ等の利用は原則禁止とし、許可する場合でも組織が管理する暗号化機能付きのものを使用し、利用前後のウイルスチェックを義務付けます 2。PCや記憶媒体を廃棄する際は、専門業者に依頼するなどして、データを完全に消去または物理的に破壊します 2
  • 3.5 アクセス権限の適切な管理
    誰がどの情報にアクセスできるかを適切に管理することは、内部不正や情報漏洩のリスクを低減する上で極めて重要です。
  • 最小権限の原則: 各職員には、その職務遂行に必要最小限の情報とシステム機能へのアクセス権限のみを付与するという原則を徹底します 62。これにより、万が一アカウントが侵害されたり、誤操作や不正利用があった場合の被害範囲を限定できます。
  • 役割ベースのアクセス制御 (RBAC): 可能であれば、個々の職員に直接権限を付与するのではなく、「看護師」「介護職員」「事務」「管理者」といった職務に応じた役割(ロール)を定義し、その役割に対して権限を割り当てる方式(RBAC)を採用します。
  • 定期的な見直し: 異動、昇進、職務内容の変更があった場合や、定期的に(例:年1回)、各職員のアクセス権限が現在も適切であるかを見直すプロセスを設けます。
  • アカウント管理の徹底:
  • 新規採用時: 新しい職員が入職した際に、必要なアクセス権を速やかに付与します。
  • 退職・異動時: 職員が退職、休職、異動等で組織を離れる際には、即座に全てのアカウントを無効化または削除し、アクセス権を剥奪します 40。これは、元職員による意図的または偶発的な不正アクセスを防ぐための、非常に重要な手続きです。放置されたアカウントは重大なセキュリティホールとなります。
  • 権限変更: 職員の役割が変わった際には、速やかに権限を見直し、不要になった権限は削除します 65

これらの基本的な対策は、互いに連携して効果を発揮します。例えば、強固なパスワードと2FAで認証を強化しても、アクセス権限が過剰であれば内部リスクは残ります。また、技術的な対策を施しても、物理的な書類管理が甘ければ意味がありません。NISTのような国際標準や、MHLWのガイドラインが2FA導入を推進していることからも 55、これらの基礎固めが現在のセキュリティ標準となりつつあることがわかります。特に、退職者アカウントの迅速な削除 62 は、見落とされがちですが、内部・元内部関係者によるリスクを低減する上で不可欠な運用です。

(4) 介護現場に特化した対策

基本的なセキュリティ対策に加え、介護現場特有の業務プロセスや環境に合わせた対策を講じることが重要です。

  • 4.1 介護記録ソフトや情報共有ツールのセキュリティ要件
    介護記録や情報共有に使用するソフトウェアは、機密性の高い情報を扱うため、その選定と運用において高いセキュリティレベルが求められます。
  • 厚労省ガイドラインとの整合性: 介護情報を取り扱うシステムは、直接的な対象ではないものの、「医療情報システムの安全管理に関するガイドライン」の趣旨や原則を踏まえて安全管理を行う必要があります 24。特に、要配慮個人情報を扱う以上、同等の注意が求められます 66
  • 具備すべき主要なセキュリティ機能:
  • 強固な認証: ID/パスワードのみに依存せず、多要素認証(MFA/2FA)に対応していることが強く推奨されます 55。将来的なガイドラインの要求事項となる可能性も高いです。
  • アクセス制御: 職種や担当に応じて、アクセスできる情報の範囲や操作(閲覧、編集、削除など)を細かく設定できる機能が必要です 2。これにより、最小権限の原則をシステムレベルで実現します。
  • 監査ログ: 「いつ」「誰が」「どの情報に」「何をしたか」を記録する詳細なログ機能が必須です 2。ログは改ざんされないように安全に保管し、定期的に監視することで、不正アクセスや内部不正の検知、インシデント発生時の原因究明に役立ちます。
  • データ暗号化: 通信経路(例:HTTPSによるウェブアクセス)と保存データ(データベース内)の両方で、個人情報を暗号化する機能が必要です 2
  • バックアップと復旧: 定期的なバックアップと、そのバックアップから確実にデータを復旧できる手順が確立されていることが重要です。ランサムウェア対策としても不可欠です。
  • ベンダーの信頼性: 特にクラウド型のサービスを利用する場合、提供事業者のセキュリティ体制、第三者認証(ISMS認証など)、個人情報の取り扱いに関する契約内容、インシデント発生時の対応プロセスなどを十分に確認する必要があります 67
  • データ連携の標準化とセキュリティ: 「ケアプランデータ連携標準仕様」 70 のような標準化の動きも踏まえ、事業所間でデータを連携する際には、暗号化された安全な通信経路を使用するなど、連携プロセス自体のセキュリティ確保も重要です。
  • 4.2 モバイルデバイス(スマートフォン、タブレット)利用時の注意点
    介護記録の入力や職員間の連絡、情報参照のために、スマートフォンやタブレットの活用が進んでいます 71。これらは利便性が高い反面、特有のリスクも伴います。
  • リスク: 端末の紛失・盗難 72、マルウェア感染、安全でないWi-Fiへの接続、私物端末利用(BYOD)の場合の公私データの混在などが挙げられます。
  • 必須の管理策(厚労省ガイドラインの考え方を参照 73):
  • 端末ロック: パスワード、PIN、生体認証による画面ロックを必須とし、一定時間操作がない場合の自動ロックを設定します 73
  • データ暗号化: 端末に保存されるデータを保護するため、デバイスレベルの暗号化機能を有効にします 73
  • リモートワイプ: 紛失・盗難時に遠隔から端末内のデータを消去できる機能を有効にします 72
  • アプリ管理: アプリは公式ストア等の信頼できる提供元からのみインストールを許可し、業務に関係のないアプリやリスクの高いアプリのインストールを制限します 73。必要に応じてモバイル用セキュリティソフトを導入します。
  • ネットワーク接続: 業務での利用時には、信頼できない公衆無線LANへの接続を避けます。外部ネットワークから機密情報にアクセスする場合はVPN等を使用します。
  • データ保存の最小化: 可能な限り、機密性の高いデータを端末内に直接保存せず、セキュアな接続を通じて中央のシステムにアクセスする運用を目指します。
  • モバイルデバイス管理 (MDM): 施設が貸与する端末にはMDM(Mobile Device Management)ソリューションの導入を強く推奨します 74。MDMにより、上記のようなセキュリティポリシー(パスワード強制、暗号化設定等)の適用、業務アプリの配布・管理、紛失時のリモートロック・ワイプなどを一元的に行うことが可能になります 72。私物端末の業務利用(BYOD)を許可する場合も、MDM(またはMAM: Mobile Application Management)による管理を検討すべきです。
  • 利用ポリシーの策定と周知: 端末の利用目的、禁止事項、セキュリティ設定の義務、私物端末利用の可否と条件、紛失・盗難時の報告手順などを明確に定めたポリシーを作成し、全職員に周知徹底します 73
  • 4.3 リモートワークや訪問介護におけるセキュリティ確保策
    事務職員のリモートワークや、訪問介護職員が利用者の自宅から事業所のシステムにアクセスする場合など、施設外からのアクセスに対するセキュリティ対策が必要です。
  • 安全な接続経路の確保: 施設外から内部ネットワークやクラウド上の業務システムへアクセスする際には、通信内容を保護するための安全な接続方法を必須とします。
  • VPN (Virtual Private Network): インターネット上に暗号化された仮想的な専用線(トンネル)を構築し、通信内容の盗聴や改ざんを防ぎます 76。訪問診療における電子カルテへのセキュアなリモートアクセス事例 79 は、訪問介護における介護記録システムへのアクセスにも応用可能です。VPN接続時には、ID/パスワードだけでなく、2FAや、厚生労働省ガイドラインがSSL-VPNに要求するクライアント証明書 57 による認証を組み合わせることで、より安全性を高めます。
  • その他のセキュアアクセス: VPN以外にも、ゼロトラストの概念に基づくZTNA(Zero Trust Network Access)ソリューションなども選択肢となり得ます(詳細は第6章参照)。
  • 端末のセキュリティ: リモートアクセスに使用するPCやタブレットは、施設内で使用する端末と同等のセキュリティ基準(OS・ソフトの最新化、マルウェア対策、暗号化、強固な認証)を満たす必要があります。
  • 施設外での情報取扱い: 訪問介護職員などに対しては、利用者宅や移動中における情報(端末、書類)の安全な取り扱いについて教育を行います。端末を放置しない、一時的なメモは適切に処分する、公共の場での機密情報の会話を避ける、などの注意喚起が必要です。
  • 自宅ネットワークのセキュリティ: リモートワークを行う職員には、自宅のWi-Fiルーターのパスワードを強固なものに変更し、暗号化方式(WPA2/WPA3)を適切に設定するよう指導します。

介護業務のデジタル化とモバイル化は、セキュリティ対策の範囲を従来の事業所内に限定せず、利用者の自宅や職員の移動先、自宅にまで広げることを要求します。特に、モバイルデバイスの管理 72 と安全なリモートアクセス手段の確保 57 は、現代の介護現場における重要なセキュリティ課題です。厚生労働省のガイドラインが多要素認証やクライアント証明書といった、より高度な技術的対策に言及し始めている 55 ことは、これらの領域におけるセキュリティ強化が規制当局からも求められていることを示唆しています。

(5) 生成AI利用時のセキュリティリスクと対策

ChatGPTをはじめとする生成AIは、業務効率化の可能性を秘める一方で、特に機密情報を扱う介護現場においては、慎重な導入とリスク管理が不可欠です。

  • 5.1 機密情報の入力リスクとその回避策
  • リスク: 最大のリスクは、利用者の氏名、病歴、ケアプランの詳細といった要配慮個人情報や、職員情報、事業所の未公開情報などの機密情報を、無償で提供されているパブリックな生成AIサービス(例:Web版ChatGPT)に入力してしまうことです。これらのサービスでは、入力された情報がAIモデルの学習データとして利用され、意図せず他のユーザーへの回答に含まれたり、サービス提供者に記録されたりする可能性があります 80。これは重大な情報漏洩であり、個人情報保護法違反に直結します。介護現場で日常的に扱う情報の多くが要配慮個人情報であることを考えると、このリスクは極めて高いと言えます。
  • 回避策:
  • 原則入力禁止: 最も安全な対策は、パブリックな生成AIツールには、個人情報や機密情報を一切入力しないというルールを徹底することです 80
  • 匿名化・非識別化: AIを文章の要約や一般的な文書作成支援などに利用する場合でも、入力前に氏名、住所、具体的な病状など、個人を特定できる情報を完全に除去する必要があります。ただし、完全な匿名化は技術的に難しく、慎重な判断が求められます。
  • セキュアなAI環境の利用: 入力データが学習に使われず、安全な環境で処理されるオプションを選択します。
  • API経由での利用: OpenAIなどの公式APIを利用する場合、多くは利用規約で入力データがモデル学習に利用されないことが保証されています 80。ただし、API連携には技術的な設定が必要です。
  • 法人向けプラン: 「ChatGPT Enterprise」やマイクロソフトの「Azure OpenAI Service」のような企業向けプランは、入力データのプライバシー保護や高度なセキュリティ管理機能を提供し、機密情報の利用に適しています 80
  • DLPツールの導入: データ損失防止(DLP)システムを導入し、従業員が機密性の高い情報をコピーしてWeb上のAIサービスに貼り付けようとした際に、自動的に検知しブロックする仕組みを構築することも有効です 80
  • 5.2 ハルシネーション(誤情報生成)のリスクと対策
  • リスク: ハルシネーションとは、生成AIが事実に基づかない、もっともらしい嘘の情報や不正確な情報を生成してしまう現象です 83。介護現場においてこれは極めて危険です。例えば、利用者の状態に関する不正確な要約、医学的根拠のないケア提案、誤った法規制情報の提示などが、ケアの質の低下、安全上の問題、コンプライアンス違反につながる可能性があります。マーケティングコピーの誤りとは異なり、ケアにおける誤情報は利用者の生命や健康に直接影響を与えかねません。
  • 対策:
  • 人間による確認・ファクトチェックの義務化: 生成AIの出力を鵜呑みにせず、必ず資格を持つ職員が内容を精査し、事実確認を行うプロセスを義務付ける必要があります 83。AIはあくまで補助ツールであり、最終的な判断は人間が行うという原則を徹底します。
  • 情報源の確認: 可能であれば、AIに対して回答の根拠となる情報源を尋ね、提示された情報源を人間が確認します 83
  • 明確な指示(プロンプト): 利用者に対して、具体的で明確な指示を与えるよう教育します。AIに対して、情報がない場合や不確かな場合は推測せずに「不明」と回答するように指示することも有効です 83
  • 低リスク業務からの利用: まずは、定型的なメールの下書き作成や、非臨床的なアイデア出しなど、情報の正確性が最重要ではない、あるいは容易に検証可能な業務から利用を開始し、リスクを評価しながら適用範囲を広げることを検討します。
  • 5.3 AI利用に関するガイドライン策定の必要性
  • 必要性: 生成AIの利点を安全に活用するためには、組織として明確な利用方針とルールを定めることが不可欠です。ガイドラインは、職員に安全な利用方法を示し、情報漏洩や誤情報のリスクを組織的に管理するために役立ちます 81。インシデントが発生してから対応するのではなく、事前に利用の枠組みを設けることが重要です。
  • ガイドラインに含めるべき項目:
  • 利用目的と許可される業務: AIを利用して良い業務範囲(例:情報検索、文書作成補助)を具体的に定義します。
  • 禁止事項: 機密情報の入力禁止、最終的なケア判断への直接利用禁止などを明記します。
  • データ入力ルール: 匿名化の要件、利用が許可されたAIツールやプラン(例:法人向けプラン、API経由)を指定します。
  • ファクトチェック手順: AIの出力結果に対する確認プロセス、担当者を明確にします。
  • 透明性の確保: AIを利用して作成した文書等について、その旨を明記するルールなどを定めます。
  • 倫理的配慮: AIの出力に含まれる可能性のあるバイアスへの注意、人間による判断やコミュニケーションを代替しないことなどを盛り込みます 86
  • 承認済みツールリスト: 組織として利用を認めるAIサービスやプランを限定します。
  • 研修義務: 職員がガイドラインとリスクを理解するための研修受講を義務付けます。
  • 外部ガイダンスの参照: 経済産業省や総務省などが公表しているAIに関するガイドライン 86 を参考に、自施設の状況に合わせた内部ガイドラインを作成します。

生成AIの導入は、介護現場における情報管理に新たな課題をもたらします。特に、要配慮個人情報の入力リスクとハルシネーションによるケア品質への影響は深刻です。これらのリスクに対応するためには、技術的な対策(セキュアなAI環境の利用、DLP)と、厳格な利用ガイドラインの策定・遵守、そして職員への継続的な教育が不可欠となります。

(6) 最新の脅威と対策動向(2025年4月時点)

サイバーセキュリティの脅威は常に進化しており、介護事業者も最新の動向を把握し、対策を継続的に見直す必要があります。

  • 6.1 近年増加しているサイバー攻撃の手法と介護業界への影響
    IPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威」などを参考に、特に注意すべき攻撃手法を以下に示します。
  • ランサムウェア: 依然として最大の脅威であり、IPAの組織向け脅威で5年連続1位となっています 29。近年は、データを暗号化するだけでなく、窃取したデータを公開すると脅迫する「二重恐喝」型が主流です 31。医療・介護分野への影響は甚大で、システム停止による業務中断、診療・ケア記録へのアクセス不能、大量の個人情報漏洩、高額な復旧費用などが報告されています 30。ニチイホールディングス 32 や多数の医療機関での被害事例 30 がその深刻さを物語っています。
  • サプライチェーン攻撃: 取引先やサービス委託先を経由した攻撃も深刻で、IPA脅威で3年連続2位です 29。ソフトウェアベンダーやクラウドサービス提供者など、セキュリティ対策が比較的弱い可能性のある関連組織が攻撃の足掛かりにされます 30。委託先のセキュリティ管理体制の確認や契約内容の見直しが重要です 89
  • フィッシング詐欺: 巧妙な偽メールやSMS、ウェブサイトを用いて、ID・パスワードなどの認証情報や個人情報を詐取したり、マルウェアをダウンロードさせたりする古典的ですが依然として有効な攻撃手法です 30。JAバンクを騙るフィッシング事例 32 も報告されています。
  • 脆弱性を悪用した攻撃: 公開されたソフトウェアやネットワーク機器(特にVPN機器などインターネットに直接接続されるもの)の脆弱性が、発見後すぐに攻撃に悪用されるケースが増えています 30。未知の脆弱性を突く「ゼロデイ攻撃」 41 も存在します。迅速なセキュリティパッチの適用が不可欠です 30
  • 内部不正・過失: 従業員による意図的な情報の持ち出しや悪用 30、あるいは不注意による情報漏洩や設定ミスも依然として大きなリスク要因です。
  • DDoS攻撃: 大量の不正な通信を送りつけてサービスを停止させる攻撃も、IPA脅威に再浮上しました 29。介護関連のオンラインサービスやコミュニケーション基盤が標的となる可能性も考慮すべきです。
  • 地政学的リスクに起因するサイバー攻撃: 国家間の対立などを背景とした、重要インフラ(医療を含む)を標的とする攻撃も新たな脅威として認識されています 29
  • 6.2 最新のセキュリティ技術やソリューションの紹介
    進化する脅威に対抗するため、新たなセキュリティ技術や考え方が登場しています。
  • ゼロトラスト・アーキテクチャ (ZTA): 「決して信頼せず、常に検証する」という原則に基づき、ネットワークの内外を問わず、全てのアクセス要求に対して厳格な認証・認可を行う考え方です 68。強力なID認証(MFA)、ネットワークの細分化(マイクロセグメンテーション)、最小権限アクセス、継続的な監視などが主要な要素です 91。リモートワークやクラウド利用の拡大に伴い、その重要性が増しています 93。厚生労働省のガイドラインでも言及され始めています 57
  • EDR (Endpoint Detection and Response): 従来のウイルス対策ソフト(EPP)を補完し、PCやサーバーなどのエンドポイント上で不審な挙動を検知、調査し、対応(感染端末の隔離など)を支援するソリューションです 88。侵入を前提とし、侵入後の脅威を迅速に発見・封じ込めることを目的とします。
  • XDR (Extended Detection and Response): EDRを拡張し、エンドポイントだけでなく、ネットワーク、クラウド、メールなど複数のセキュリティレイヤーから情報を収集・相関分析することで、より広範な脅威を検知し、統合的な調査・対応を実現するアプローチです 95。アラートの集約による運用負荷軽減も期待されます 97
  • SASE (Secure Access Service Edge): ネットワーク機能(SD-WAN等)とセキュリティ機能(SWG, CASB, ZTNA, FWaaS等)をクラウド上で統合して提供するアーキテクチャです 92。場所を問わず、ユーザーやデバイスがアプリケーションやデータに安全にアクセスできるよう、一貫したセキュリティポリシーを適用します 98。リモートワークやマルチクラウド環境に適しています 92
  • パスキー (FIDO認証): パスワードに代わる新しい認証方式で、FIDOアライアンスの標準に基づいています 100。デバイス(スマートフォン等)に安全に保管された暗号鍵ペアと、デバイスの生体認証やPINを組み合わせて認証を行います。パスワードのように記憶・入力する必要がなく、フィッシング詐欺に強いという利点があります。主要なプラットフォームでの採用が進んでおり 100、NIST SP 800-63Bが推奨するフィッシング耐性のある認証方式としても注目されています 57

表2: 最新セキュリティソリューションの比較

技術/ソリューション

主要機能

介護分野での主な利点

導入時の考慮事項

ゼロトラスト (ZTA)

全てのアクセスを検証、最小権限アクセス、継続的監視

リモートアクセス/訪問介護のセキュリティ強化、内部不正リスク低減

段階的な導入計画、既存システムとの連携、ポリシー策定

EDR

エンドポイントでの脅威検知・調査・対応

ランサムウェア等の高度なマルウェア検知・対応強化

監視・分析のための運用リソース(人材または外部サービス)、アラート対応体制

XDR

EDRに加えネットワーク、クラウド等複数レイヤーの情報を統合・相関分析

脅威の全体像把握、調査・対応の迅速化・効率化

EDRより広範なデータ連携設定、製品間の連携性確認

SASE

ネットワークとセキュリティ機能(ZTNA, SWG等)をクラウドで統合提供

リモートワーク/クラウド利用環境での一貫したセキュリティポリシー適用、運用管理の簡素化

ベンダー選定の重要性、既存ネットワークからの移行計画、単一障害点リスクへの備え

パスキー (FIDO)

デバイスベースの暗号鍵と生体認証等によるパスワードレス認証

フィッシング耐性の向上、ログインの簡便化・迅速化

対応サービス・ブラウザの確認、利用者への周知・教育、デバイス紛失時のリカバリ手段

 

これらの新しい技術は、従来の境界型防御の限界を補い、より動的で複雑なIT環境に対応するために設計されています。介護施設においても、将来的なセキュリティ戦略を検討する上で、これらの動向を理解しておくことが重要です。

  • 6.3 関連法規やガイドラインの改正動向
    セキュリティ対策は、法規制やガイドラインの動向とも密接に関連しています。
  • 個人情報保護法 (3年ごと見直し): 個人情報保護法は、社会情勢の変化等に対応するため、概ね3年ごとに見直されることになっています。現在、次期改正(2025年頃の施行可能性も視野)に向けた検討が進められています 103。検討されている主な論点には、①個人の権利利益への影響を考慮した上での同意規制のあり方(特定の条件下での同意不要範囲の見直し等)、②漏洩等発生時の本人通知義務の緩和(リスクの低い情報の場合など)、③データ処理等の委託を受けた事業者に対する規律強化などが含まれます 103。ただし、これらはまだ検討段階であり、現行法を遵守することが前提です。
  • 厚労省 医療・介護情報システム関連ガイドライン: これらのガイドラインも、技術の進展や新たな脅威に対応するため、定期的に改定されています 24。近年の改定では、多要素認証の推進 57、クラウド利用における責任分界とセキュリティ 68、ゼロトラストの考え方の導入 57、インシデント発生時の対応やBCP(事業継続計画)の強化 68 などが重点項目となっています。
  • 継続的な情報収集の重要性: 事業者は、個人情報保護委員会、厚生労働省、経済産業省、IPAなどの公的機関からの発表を継続的に注視し、法改正やガイドライン改定の動向を把握し、自施設の対策に反映させていく必要があります。

脅威の進化、技術の進歩、そして法規制の変化は連動しています。ランサムウェアやサプライチェーン攻撃といった現実の脅威 29 が、EDR/XDRやゼロトラストといった新しい防御技術 93 の必要性を高め、それがガイドラインの改定 57 に反映され、さらには法改正の議論 103 にも繋がっていきます。介護事業者は、このダイナミックな環境変化に対応するため、常にアンテナを張り、継続的な学習と対策の見直しを行うことが求められます。

(7) 職員への教育と意識向上

どれほど高度な技術的対策を導入しても、それを利用する「人」の意識と行動が伴わなければ、セキュリティは確保できません。職員への継続的な教育と意識向上は、情報漏洩対策の根幹をなす要素です。

  • 7.1 定期的なセキュリティ研修の重要性
  • 人的要因の重要性: 情報漏洩やセキュリティインシデントの多くは、職員の不注意や知識不足といった人的な要因によって引き起こされます 106。したがって、技術的な防御壁を築くと同時に、職員一人ひとりのセキュリティ意識と知識を高めることが不可欠です 88。厚生労働省のガイダンスでも、従業者に対する教育研修の実施は安全管理措置の一環として義務付けられています 2
  • 継続性の必要性: セキュリティ研修は、入職時の一度きりではなく、定期的に(例:年に1回以上の全体研修、および必要に応じたトピック別研修や注意喚起)実施する必要があります 106。脅威の手口は常に変化するため、知識を最新の状態に保ち、意識を風化させないことが重要です。
  • 介護職員向けの内容: 研修内容は、介護職員の日常業務に関連付け、具体的なリスクと対策を理解できるよう工夫する必要があります。主要な研修項目としては、以下が挙げられます。
  • 個人情報保護法、特に要配慮個人情報の定義と重要性 108
  • 社会福祉士及び介護福祉士法等に基づく守秘義務の内容と違反時の罰則 108
  • 安全なパスワード管理(使い回し禁止、パスワードマネージャーの推奨)。
  • フィッシング詐欺の見分け方(不審なメール、SMS、リンク、添付ファイルへの対処法) 30
  • インターネット、SNSの安全な利用(私的な情報発信における注意点、事業所のメディアポリシー遵守) 108
  • スマートフォン、タブレットなどモバイル端末の安全な利用ルール 73
  • クリアデスク、画面ロック、書類の施錠保管など物理的セキュリティのルール。
  • 紙媒体の個人情報の適切な取り扱いと安全な廃棄方法。
  • 生成AIを利用する場合のルールとリスク(情報入力制限、ファクトチェックの必要性)。
  • セキュリティインシデント発生時の報告手順 111
  • 効果的な実施方法: 座学だけでなく、eラーニング、グループワーク、事例研究などを組み合わせ、参加型で実践的な研修を目指します。特に、標的型攻撃メール訓練(フィッシングシミュレーション)は、職員が実際に疑わしいメールを見分けるスキルを体験的に学び、自身の対応を振り返る良い機会となります 106。訓練結果に基づいたフィードバックも重要です 113。研修の参加状況や理解度を確認する仕組みも設けるべきです。
  • 7.2 インシデント発生時の報告・対応フローの確立
    セキュリティインシデント(事故やその疑い)は、起こり得るものとして備える必要があります。発生時に迅速かつ適切に対応できる体制を整備しておくことが、被害を最小限に抑える鍵となります。
  • 明確な報告経路: 職員が「怪しいメールを開いてしまった」「USBメモリを紛失したかもしれない」「個人情報を誤送信した」といったインシデントやその疑いを認識した場合に、速やかに、かつ、ためらうことなく報告できる明確な手順と報告先(担当部署や担当者)を定めておく必要があります 2。報告しやすい雰囲気作りも重要です。
  • インシデント対応計画 (IRP): インシデント発生時に取るべき行動を具体的に定めた計画書を作成し、関係者で共有します。IRPには通常、以下の要素が含まれます。
  • 検知と初期対応: インシデントの発見、報告受付、被害拡大防止のための初動(ネットワークからの隔離など)。
  • 分析と評価: インシデントの原因、影響範囲、被害状況の調査・特定。
  • 封じ込め、根絶、復旧: 脅威の除去、システムの復旧、通常の業務状態への回復。
  • 事後対応: 原因分析、再発防止策の検討・実施、関係各所への報告(経営層、個人情報保護委員会、影響を受けた本人等、個人情報保護法の規定に基づく 14)。
  • BCP(事業継続計画)との連携: セキュリティインシデント(特にランサムウェア攻撃など)は、事業継続を脅かす重大な事態に発展する可能性があります。インシデント対応計画(IRP)はインシデント自体の管理に焦点を当てますが、BCPはインシデント発生下での重要業務の継続・早期復旧を目指します 111。両計画は連携している必要があり、どのような状況(被害レベル)でBCPを発動するかの基準を明確にしておくべきです 112
  • 訓練と見直し: 作成したIRPやBCPは、机上訓練やシミュレーションなどを通じて定期的にテストし、実効性を検証する必要があります。職員に対しても、インシデント発生時の自身の役割と行動について訓練を行います。訓練結果や実際のインシデント対応経験に基づき、計画を継続的に見直します。

介護現場のセキュリティにおいては、職員一人ひとりが「最初の防御線」であり、同時にインシデントの「最初の発見者」でもあります。したがって、研修を通じて知識と意識を高めること 108、そしてインシデント発生時に迅速かつ適切に行動できる報告・対応体制を整備すること 2 は、技術的対策と並んで極めて重要です。特に、守秘義務 16 や要配慮個人情報の取り扱い 4 といった介護分野特有の法的・倫理的要請を研修内容に組み込むこと、そして報告しやすい文化を醸成することが、実効性のある人的対策の鍵となります。

(8) まとめと推奨事項

介護現場における情報漏洩は、利用者の尊厳と安全、事業所の信頼、そして法的コンプライアンスに関わる重大な問題です。デジタル化が進む現代において、堅牢なセキュリティ体制の構築は、もはや選択肢ではなく必須要件です。本レポートで概説した各種対策を踏まえ、以下の戦略的推奨事項を提示します。

  • 8.1 多層的な防御の考え方 (Defense-in-Depth)
    単一のセキュリティ対策に依存するのではなく、複数の防御層を組み合わせる「多層防御」 107 の考え方を採用することが不可欠です。ある層が突破されても、他の層が脅威を検知・阻止する可能性を高めます 107。介護施設において特に重要となる防御層は以下の通りです。
  • 境界防御: ファイアウォール、不正侵入検知/防御システム(IDS/IPS)、安全なウェブゲートウェイ(SWG)等による、外部ネットワークとの境界での防御。
  • 内部ネットワーク防御: ネットワークのセグメント化、内部通信の監視。
  • エンドポイント防御: PC、サーバー、モバイル端末における最新のウイルス対策ソフト、EDRの導入 115
  • アプリケーション防御: 介護記録ソフト等の業務アプリケーション自体のセキュリティ機能(認証、アクセス制御、ログ)。
  • データ防御: 保存データ及び通信データの暗号化、適切なバックアップと復旧体制。
  • ID・アクセス管理: 強固な認証(パスワード管理、MFA/2FA、パスキー)、最小権限の原則に基づくアクセス制御、アカウントライフサイクル管理。
  • 物理的防御: 施錠管理、入退室管理、書類・媒体の安全な管理と廃棄。
  • 人的防御: 継続的なセキュリティ教育・訓練、明確なポリシーと手順、インシデント報告体制。

これらの層を組み合わせることで、ランサムウェアのような高度な攻撃から、USBメモリ紛失のような基本的な事故まで、多様な脅威に対する総合的な耐性を構築できます。

  • 8.2 継続的な見直しと改善の必要性
    セキュリティ対策は、「一度導入すれば終わり」ではありません。脅威は常に進化し、技術は進歩し、法規制も変化します。また、事業所の業務内容やシステム構成も変わり得ます。したがって、セキュリティは継続的なプロセスとして捉え、定期的な見直しと改善のサイクルを確立することが極めて重要です 2。具体的には、以下の活動を定期的に(例:年次)実施することを推奨します。
  • リスクアセスメント: 最新の脅威情報や自施設の状況を踏まえ、情報資産に対するリスクを再評価します。
  • ポリシー・手順の見直し: セキュリティポリシーや各種手順が現状に即しているか、実効性があるかを確認し、必要に応じて改定します。
  • 技術・ツールの評価: 導入済みのセキュリティツールの有効性を評価し、必要であれば新しい技術(例:EDR, XDR, ZTNA, パスキー等)の導入を検討します。
  • 教育・訓練内容の更新: 最新の脅威動向やインシデント事例を反映し、研修内容を更新します。
  • 監査・遵守状況の確認: 定期的な内部監査や外部監査により、ポリシーや法規制の遵守状況を確認し、問題点を是正します。

この継続的な改善サイクルこそが、長期的に有効なセキュリティ体制を維持するための鍵となります。

  • 8.3 参考となる情報源
    最新の情報や公的な指針を得るために、以下の情報源を継続的に参照することが重要です。
  • 厚生労働省 (MHLW): 介護分野に特化した「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」や、「医療情報システムの安全管理に関するガイドライン」など、遵守すべき主要な指針を提供しています 24
  • 個人情報保護委員会 (PPC): 個人情報保護法の解釈、Q&A、ガイドライン、漏洩等報告に関する情報など、法遵守に関する公式情報を提供しています 1
  • 独立行政法人情報処理推進機構 (IPA): 「情報セキュリティ10大脅威」 29、脆弱性情報 42、各種セキュリティ対策資料(「情報セキュリティ5か条」 40 など)を提供しており、脅威動向や技術的対策の参考に不可欠です。
  • 内閣サイバーセキュリティセンター (NISC): 政府全体のサイバーセキュリティ戦略や注意喚起などを発信しています。
  • 業界団体: 所属する介護関連の業界団体などが、セキュリティに関する情報提供や研修を行っている場合があります。

表3: 主要な公的ガイドライン・情報源

 

名称/バージョン例

発行主体

主要な焦点

サイバーセキュリティとの関連性

参照先/備考

医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス (最新版)

厚労省/PPC

医療・介護分野における個人情報保護法の具体的な解釈と実践

介護現場における個人情報(特に要配慮個人情報)の取り扱い、安全管理措置(組織的・人的・物理的・技術的)の基本

厚労省ウェブサイト等で最新版を確認 24。本レポートで頻繁に参照。

医療情報システムの安全管理に関するガイドライン 第6.0版 (令和5年5月)

厚労省

医療情報システムの技術的・管理的・運用的な安全管理基準

(介護システムも準拠推奨) 認証(MFA/2FA)、アクセス制御、ログ管理、暗号化、クラウド利用、ゼロトラスト概念、インシデント対応/BCP等、より詳細な技術・管理要件 57

厚労省ウェブサイトで公開 24。介護分野でも、特にシステムセキュリティの技術標準として参考になる。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

経産省

医療情報システム・サービスを提供するベンダー向けの安全管理基準

クラウドサービス等の外部委託先を選定・管理する際の基準として参照 67

経産省ウェブサイトで公開 67。委託先管理の観点から重要。

情報セキュリティ10大脅威 (年次発行)

IPA

その年に注目すべきセキュリティ上の脅威(組織向け・個人向け)をランキング形式で解説

最新のサイバー攻撃トレンド(ランサムウェア、サプライチェーン攻撃等)を把握し、対策の優先順位付けに活用 29

IPAウェブサイトで毎年公開。脅威動向の把握に必須。

情報セキュリティ5か条

IPA

一般的な利用者が最低限実施すべき基本的なセキュリティ対策

OSアップデート、ウイルス対策、パスワード管理、共有設定、脅威の認知といった基礎的な対策の重要性を確認 40

IPAウェブサイトで公開。職員教育の基礎として活用可能。

 

これらの公的機関が提供する情報を活用し、自施設の状況に合わせて対策を具体化していくことが、コンプライアンスを確保し、実効性のあるセキュリティ体制を構築・維持する上で不可欠です。

結語

介護現場における情報セキュリティ対策は、単なる技術的な課題ではなく、利用者の尊厳と安全を守り、社会的な信頼を維持するための経営課題です。本レポートが、各介護事業所におけるセキュリティ対策の強化に向けた具体的な行動計画の策定と実践の一助となれば幸いです。継続的な努力と改善を通じて、安全で安心な介護サービスの提供基盤を確立することが、これからの介護事業者には強く求められています。

引用文献

  1. 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス, 4月 30, 2025にアクセス、 https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance
  2. www.mhlw.go.jp, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/file/06-Seisakujouhou-12600000-Seisakutoukatsukan/0000194232.pdf
  3. 介護事業者に求められる 個人情報保護とセキュリティ, 4月 30, 2025にアクセス、 https://www.dosuru.kaigo-center.or.jp/content/files/2023/5_CTnokatsuyou.pdf
  4. 介護情報の共有に係る同意取得及び個人情報保護について - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/content/12301000/001063183.pdf
  5. 個人に関する情報と倫理 | 看護職の皆さまへ | 公益社団法人日本看護協会, 4月 30, 2025にアクセス、 https://www.nurse.or.jp/nursing/rinri/text/basic/problem/kojinjyoho.html
  6. 医療・介護関係事業者において取り扱う「要配慮個人情報」には、具体的にどのようなものがありますか。, 4月 30, 2025にアクセス、 https://www.ppc.go.jp/all_faq_index/faq3-q2-4
  7. 介護現場における個人情報保護の徹底について - 杉戸町, 4月 30, 2025にアクセス、 https://www.town.sugito.lg.jp/page/1864.html
  8. 介護現場における個人情報保護の徹底について - 桶川市, 4月 30, 2025にアクセス、 https://www.city.okegawa.lg.jp/soshiki/kenkofukushi/koureikaigo/koureikaigo/kaigo/10913.html
  9. 改正個人情報保護法の全面施行とデータ活用(前編)|NECネクサソリューションズ, 4月 30, 2025にアクセス、 https://www2.nec-nexs.com/supple/medical/column/ogawa/column013.html
  10. 介護現場で知っておくべき個人情報保護とは?介護職の視点からわかりやすく解説 | ケアきょう, 4月 30, 2025にアクセス、 https://carekyo.com/content/list/12390/
  11. 医療・介護関係事業者における 個人情報の適切な取扱いのためのガイドライン - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/content/10800000/000911083.pdf
  12. 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」 に関するQ&A(事例集), 4月 30, 2025にアクセス、 https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/
  13. 医療・介護関係事業者における 個人情報の適切な取扱いのためのガイドライン, 4月 30, 2025にアクセス、 https://www.privacy-policy.jp/guideline/iryo/iryo1_3.pdf
  14. 介護事業で個人情報を漏洩した場合の対応とは?事例と対策もご紹介 - カイポケ, 4月 30, 2025にアクセス、 https://ads.kaipoke.biz/column/operation/personal-information-leak.html
  15. 介護事業者として知っておくべき個人情報保護のポイント, 4月 30, 2025にアクセス、 https://pro.kao.com/jp/medical-kaigo/topics/business/20230320/
  16. ・社会福祉士及び介護福祉士法( 昭和62年05月26日法律第30号), 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/web/t_doc?dataId=82021000&dataType=0&pageNo=1
  17. 介護のプライバシー保護の取り組み|事例・気を付けることなど徹底解説 - Rehab Cloud, 4月 30, 2025にアクセス、 https://rehab.cloud/mag/11292/
  18. 守秘義務とは 介護保険法の法律上の条文、罰則・罰金も, 4月 30, 2025にアクセス、 https://carenote.jp/syuhigimu/
  19. 介護保険法 - e-Gov 法令検索, 4月 30, 2025にアクセス、 https://laws.e-gov.go.jp/law/409AC0000000123
  20. ・医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスの一部訂正について(通知)( 平成30年02月13日医政発第213006号個情第90号薬生発第213001号老発第213002号) - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/web/t_doc?dataId=00tc3171&dataType=1&pageNo=3
  21. 介護現場はプライバシーだらけ!プライバシー保護とその重要性について解説, 4月 30, 2025にアクセス、 https://corp.tsukui-staff.net/kenshu/pedia/privacy
  22. 7.秘密保持 - MY介護の広場, 4月 30, 2025にアクセス、 https://www.my-kaigo.com/pub/carers/risk/horitsu/0070.html
  23. 介護現場でのプライバシーの重要性とは? - ケアジョブ, 4月 30, 2025にアクセス、 https://www.mjc-carejob.com/oyakudachi/post/?p=25
  24. 厚生労働分野における個人情報の適切な取扱いのためのガイドライン等 - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000027272.html
  25. 医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン, 4月 30, 2025にアクセス、 https://www.zenhokan.or.jp/wp-content/uploads/tuuti84-2.pdf
  26. 本ガイドラインは、「個人情報の保護に関する法律」 (平成15年法律第57号。以下, 4月 30, 2025にアクセス、 https://www.wam.go.jp/wamappl/bb13gs40.nsf/0/49256fe9001ac4c749256f7800248abe/$FILE/betten1-1,2.pdf
  27. 介護施設で多発する個人情報漏えい <罰則と3つのセキュリティ対策> | ZIPCARE MEDIA, 4月 30, 2025にアクセス、 https://media.zipcare.co.jp/article0007/
  28. 介護現場における個人情報保護マニュアルとは?重要性や作成手順について解説, 4月 30, 2025にアクセス、 https://corp.tsukui-staff.net/kenshu/pedia/kojinjouhouhogo
  29. 「情報セキュリティ10大脅威 2025」から学ぶ、最新の脅威と対策ソリューション | LAC WATCH, 4月 30, 2025にアクセス、 https://www.lac.co.jp/lacwatch/service/20250313_004320.html
  30. 情報セキュリティ10大脅威 2025の詳細と脅威事例・具体的な対策案を解説, 4月 30, 2025にアクセス、 https://www.iwi.co.jp/blog/security/cybersecurity_measures/20250416-10threat-2025/
  31. 【2025年】最新ランサムウェアの事例10選!対策とともに解説 - wiz LANSCOPE ブログ, 4月 30, 2025にアクセス、 https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20240129_18632/
  32. basic.gr.jp, 4月 30, 2025にアクセス、 https://basic.gr.jp/wp/wp-content/uploads/2024/10/202409.pdf
  33. 情報漏洩の事例と企業が実施すべき具体的な対策方法を詳しく解説!, 4月 30, 2025にアクセス、 https://www.dos-osaka.co.jp/ss1/ss1lab/2024/10/Infomation-leak-cases.html
  34. 2025年第1四半期の国内セキュリティインシデントを振り返る | トレンドマイクロ (JP) - Trend Micro, 4月 30, 2025にアクセス、 https://www.trendmicro.com/ja_jp/jp-security/25/d/securitytrend-20250425-01.html
  35. 個人情報漏洩ニュース(事件)・被害事例一覧 - サイバーセキュリティ.com, 4月 30, 2025にアクセス、 https://cybersecurity-jp.com/leakage-of-personal-information
  36. 介護施設の情報漏洩の事例10選!事業所運営に潜むセキュリティリスクに注意を! - プロアス, 4月 30, 2025にアクセス、 https://proas.co.jp/blog/2016/10/26/kaigo20161026/
  37. 医療分野のセキュリティニュース総まとめ 2024 - Digital Health Times, 4月 30, 2025にアクセス、 https://dht.micin.jp/cybersecurity/cybersecurity10/2/
  38. 個人情報漏えい - 介護データベース, 4月 30, 2025にアクセス、 https://www.personalassist.co.jp/kaigodatabase/category/information-leakage/
  39. 個人情報の漏えい事案の発生について(令和6(2024)年1月31日報道発表) - 柏崎市, 4月 30, 2025にアクセス、 https://www.city.kashiwazaki.lg.jp/soshikiichiran/sogokikakubu/genkihasshinka/1/24/2023houdohappyou/202401/39492.html
  40. IPAのセキュリティガイドラインを解説。セキュリティを強化する基本の5か条とは。, 4月 30, 2025にアクセス、 https://blog.seeds.ne.jp/ipa-5-security-principles/
  41. サイバーセキュリティ対策9か条:OSやソフトウェアは常に最新の状態にしておこう, 4月 30, 2025にアクセス、 https://www.digitalsales.alsok.co.jp/col_cybersecurity9principles01
  42. OSやソフトウェアアップデートの必要性とは?最新が正解とは限らない | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン, 4月 30, 2025にアクセス、 https://www.lrm.jp/security_magazine/os_update/
  43. Microsoft 製品の脆弱性対策について(2025年4月) | 情報セキュリティ - IPA, 4月 30, 2025にアクセス、 https://www.ipa.go.jp/security/security-alert/2025/0409-ms.html
  44. パスワード要件が変わる!- NIST SP800-63B-4の第2次公開草案の重要ポイントと実装への影響, 4月 30, 2025にアクセス、 https://www.sqat.jp/kawaraban/33038/
  45. NIST SP 800-63B-4 第2次公開草案のパスワード要件の変更点をまとめてみた | DevelopersIO, 4月 30, 2025にアクセス、 https://dev.classmethod.jp/articles/nist-sp-800-63b-4-2/
  46. パスワードの要件と課題 - 情報システム開発契約のセキュリティ仕様作成のためのガイドライン, 4月 30, 2025にアクセス、 https://www.softwareisac.jp/ipa/index.php?%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AE%E8%A6%81%E4%BB%B6%E3%81%A8%E8%AA%B2%E9%A1%8C
  47. 【2025年版】パスワードマネージャーおすすめ9選を徹底比較!選ぶ際のポイントも解説(無料あり), 4月 30, 2025にアクセス、 https://notepm.jp/blog/12120
  48. パスワードマネージャー、どれを選べばいい? 徹底比較であなたにピッタリを見つけよう! - note, 4月 30, 2025にアクセス、 https://note.com/legit_plover6223/n/n7df57b75e4b7
  49. パスワード管理アプリおすすめ7選!ビジネスでの選び方を解説 | マネーフォワード クラウド, 4月 30, 2025にアクセス、 https://biz.moneyforward.com/work-efficiency/basic/1585/
  50. 【2025年版】Google パスワードマネージャーの安全性を検証! - TeamPassword, 4月 30, 2025にアクセス、 https://teampassword.com/ja/blog/are-chrome-passwords-safe-ja
  51. 二要素認証(2FA)とは?基礎知識やメリット、二段階認証との違いを解説 - KWCPLUS, 4月 30, 2025にアクセス、 https://kwcplus.kddi-web.com/blog/what-is-2factor
  52. 2要素認証とは?必要とされる理由や導入メリット・認証の種類を解説 - Blog | Menlo Security, 4月 30, 2025にアクセス、 https://www.menlosecurity.com/ja-jp/blog/two-factor-authentication
  53. 二段階認証とは?仕組み・導入方法について解説 - メディアSMS, 4月 30, 2025にアクセス、 https://media-sms.net/column/two_factor_authentication/
  54. 二要素認証とは | クライアント証明書|GMOグローバルサイン【公式】, 4月 30, 2025にアクセス、 https://jp.globalsign.com/managed-pki/about_tfa.html
  55. 「医療情報システムの安全管理に関するガイドライン」セキュリティ対策のポイントをチェック!, 4月 30, 2025にアクセス、 https://www.dds.co.jp/ja/topics/11329/
  56. 3省2ガイドラインとは? 押さえるべきセキュリティ対策をご紹介 - Gluegent, 4月 30, 2025にアクセス、 https://www.gluegent.com/service/gate/column/medical-guidelines/
  57. 最新版「医療情報システムの安全管理に関するガイドライン」における押さえておくべきサイバーセキュリティ対策とは?|BLOG, 4月 30, 2025にアクセス、 https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/medical-information-system-security.html
  58. 情報セキュリティ対策とは?対策方法一覧と被害例を攻撃の種類別に紹介, 4月 30, 2025にアクセス、 https://www.gmo.jp/security/security-all/security-measures/
  59. 技術的・物理的・人的対策とは? | ISMS情報セキュリティブログ - LRM株式会社, 4月 30, 2025にアクセス、 https://www.lrm.jp/iso27001/blog/security/8321/
  60. オフィスの物理的セキュリティ対策 | 鹿児島オフィスづくり.com, 4月 30, 2025にアクセス、 https://kagoshimaoffice.com/service/security/
  61. オフィスでできるセキュリティ対策|重要性や実施時のポイントも解説|コラム|TOPPAN expace, 4月 30, 2025にアクセス、 https://forest.toppan.com/expace/columns/4c882kfxox/
  62. 内部不正とは? 情報漏洩が起こる要因や影響、対策のポイントを解説 - SKYSEA Client View, 4月 30, 2025にアクセス、 https://www.skyseaclientview.net/media/article/2516/
  63. 最小特権の原則(POLP)とは?|PAM360 - ManageEngine, 4月 30, 2025にアクセス、 https://www.manageengine.jp/products/PAM360/what-is-the-principle-of-least-privilege-polp.html
  64. 退職時の業務用アカウントの引き継ぎをスムーズにするコツ - Keeper Security, 4月 30, 2025にアクセス、 https://www.keepersecurity.com/blog/ja/2024/10/04/how-to-safely-hand-over-online-accounts-when-employees-leaving/
  65. ファイルの誤ったアクセス管理がビジネスに与える負の影響とは - Fleekdrive, 4月 30, 2025にアクセス、 https://www.fleekdrive.com/blog/archive/filemanagement31/
  66. 介護情報基盤について - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/content/12300000/001269924.pdf
  67. 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン, 4月 30, 2025にアクセス、 https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html
  68. まだ間に合う!「医療情報システムの安全管理に関するガイドライン」対策を効果的に実施するには, 4月 30, 2025にアクセス、 https://www.lac.co.jp/lacwatch/service/20241004_004137.html
  69. 医療情報システムの安全管理に関するガイドライン第6.0版が改定!改定のポイントや背景を解説, 4月 30, 2025にアクセス、 https://www.phchd.com/jp/medicom/park/idea/management-guidelines
  70. 介護テクノロジーの利用促進 - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/stf/kaigo-ict.html
  71. 介護サービス事業所におけるICT機器・ソフトウェア導入に関する手引き - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/content/12300000/001276275.pdf
  72. 厚生労働省令和2年度3次補正予算が可決!介護・福祉分野に対するICT導入の補助も, 4月 30, 2025にアクセス、 https://www.lanscope.jp/blogs/cyber_attack_emcloud_blog/20210302_19162/
  73. 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3 ..., 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/stf/shingi/0000516275.html
  74. 私用スマホやタブレットで仕事はOK?便利さとセキュリティの両立を考えよう, 4月 30, 2025にアクセス、 https://exosp.net/blog/view/id/275
  75. 病院・医療機関のセキュリティ対策やスマホ導入ならCLOMO MDM | 株式会社アイキューブドシステムズ, 4月 30, 2025にアクセス、 https://www.i3-systems.com/mdm-medical/
  76. リモートアクセスサーバー(RAS)とは?仕組みやVPNについて解説【2025年最新版】, 4月 30, 2025にアクセス、 https://saas.imitsu.jp/cate-remote-access/article/h-2019
  77. リモートアクセスとは?セキュリティ対策や種類・導入手順も紹介 | Think with Magazine, 4月 30, 2025にアクセス、 https://www.kddimatomete.com/magazine/221125112833/
  78. Arcstar Universal One(VPN活用例:海外出張や在宅勤務時のリモート環境の整備), 4月 30, 2025にアクセス、 https://www.ntt.com/business/services/network/vpn/vpn/scene/guide_08.html
  79. 法人向けモバイルサービス(導入事例:医療法人なるみ会) - NTTコミュニケーションズ, 4月 30, 2025にアクセス、 https://www.ntt.com/business/services/network/m2m-remote-access/bmobile/case/narumi.html
  80. ChatGPTの情報漏洩リスクとは?発生理由や事例・対策を紹介 - SAXA-DX Navi - サクサ, 4月 30, 2025にアクセス、 https://www.saxa.co.jp/saxa-dx_navi/trend/tr0040-security-u01-n003.html
  81. ChatGPTで情報漏洩は起こる?対策や履歴オフの設定方法を解説 - インターコム, 4月 30, 2025にアクセス、 https://www.intercom.co.jp/malion/column/chatgpt-information-leakage/
  82. ChatGPTによる情報漏洩リスクとは?企業がとるべき防止策をご紹介, 4月 30, 2025にアクセス、 https://www.jmam.co.jp/hrm/column/0122-chatgpt.html
  83. ハルシネーションが発生する原因と対策方法を詳しく解説 | Windows マイグレーション相談センター, 4月 30, 2025にアクセス、 https://licensecounter.jp/win_migration/blog/c513fe5813f74b55ecd5ebd2b9b3c2f62bfafe70/
  84. 【生成AI】ハルシネーションの原因とその対策 – ヨリドコ! | DXのモヤモヤを晴らす情報サイト, 4月 30, 2025にアクセス、 https://yoridoko.lincrea.co.jp/articles/ai-data-utilization/hallucination/
  85. ハルシネーションとは?発生する原因や改善方法、トラブル防止のための対策を解説, 4月 30, 2025にアクセス、 https://service.shiftinc.jp/column/11368/
  86. AI 事業者ガイドライン - 経済産業省, 4月 30, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20240419_1.pdf
  87. AI事業者ガイドライン (第1.1版) 概要 - 経済産業省, 4月 30, 2025にアクセス、 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20250328_2.pdf
  88. 【サプライチェーン攻撃対策】危険性と今すぐできる3つの対策 | 西部電気工業ソリューション, 4月 30, 2025にアクセス、 https://www.seibu-denki.co.jp/solution/columns/supply-chain-attacks/
  89. サプライチェーンのセキュリティリスクとは? 改善方法などについても解説 - NTTコミュニケーションズ, 4月 30, 2025にアクセス、 https://www.ntt.com/bizon/supplychain_security.html
  90. 【介護施設向け】サイバー攻撃から施設を守る|事例から見る対策法 - クロジカ大容量ファイル管理, 4月 30, 2025にアクセス、 https://kurojica.com/storage/blog/1173/
  91. ゼロトラストアーキテクチャとは? メリットや実現へのステップを解説 - SKYSEA Client View, 4月 30, 2025にアクセス、 https://www.skyseaclientview.net/media/article/2262/
  92. 【必見】SASEとゼロトラストの違いをわかりやすく解説。仕組みやメリット・デメリットも紹介, 4月 30, 2025にアクセス、 https://www.gate02.ne.jp/media/it/column_146/
  93. ゼロトラストアーキテクチャとは?基礎をわかりやすく解説 - wiz LANSCOPE ブログ, 4月 30, 2025にアクセス、 https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20230113_27651/
  94. ゼロトラストアーキテクチャとは?仕組みや実現するためのポイントを解説 | CACHATTO COLUMN, 4月 30, 2025にアクセス、 https://www.cachatto.jp/column/article/042.html
  95. 高度なサイバーセキュリティを実現するEDR、XDRとは? - 使えるねっと, 4月 30, 2025にアクセス、 https://www.tsukaeru.net/blog/what-is-cybersecurity-edr-xdr-ja/
  96. EDR とXDR:違いは何ですか?| Microsoft Security, 4月 30, 2025にアクセス、 https://www.microsoft.com/ja-jp/security/business/security-101/edr-vs-xdr
  97. XDRとは?EDRとの違い、セキュリティ機能やメリットを紹介 - NTTコミュニケーションズ, 4月 30, 2025にアクセス、 https://www.ntt.com/business/lp/xdr.html
  98. SASE (サシー、サッシー) とは?ゼロトラストとの違いや導入のメリットを解説, 4月 30, 2025にアクセス、 https://biz.kddi.com/content/column/smartwork/what-is-sase/
  99. SASEとはなにか?ゼロトラストを実現するための重要ポイント - wiz LANSCOPE ブログ, 4月 30, 2025にアクセス、 https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20230119_27768/
  100. 生体認証の最新情報: パスキー が勢いを増し、150億のオンラインアカウントへのアクセスが可能に, 4月 30, 2025にアクセス、 https://fidoalliance.org/biometric-update-passkeys-build-momentum-enabling-access-to-15-billion-online-accounts/?lang=ja
  101. パスキー 2024 年に採用が倍増: 150 億を超えるオンライン アカウントが パスキー を活用して、より迅速で安全なサインインを実現 - FIDO Alliance, 4月 30, 2025にアクセス、 https://fidoalliance.org/passkey-adoption-doubles-in-2024-more-than-15-billion-online-accounts-can-leverage-passkeys/?lang=ja
  102. 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63B-3」にパスキーが登場, 4月 30, 2025にアクセス、 https://www.nri-secure.co.jp/blog/nist-sp-800-63b-3
  103. 個人情報保護法の改正で何が変わった?2022、2023、2025の変更点をわかりやすく解説, 4月 30, 2025にアクセス、 https://mamorinojidai.jp/article/2472/
  104. 個人情報保護法改正の追加検討事項の公表(2025年1月22日) - 牛島総合法律事務所, 4月 30, 2025にアクセス、 https://www.ushijima-law.gr.jp/client-alert_seminar/client-alert/20250123appi/
  105. 医療情報システムの安全管理ガイドラインとは?改定概要&重要ポイント簡単解説!, 4月 30, 2025にアクセス、 https://www.netone.co.jp/media/detail/20240216-1/
  106. 標的型攻撃メール訓練の効果を最大限に引き出すための4つのポイント - ALSOK 情報セキュリティ, 4月 30, 2025にアクセス、 https://www.digitalsales.alsok.co.jp/col_mail-training
  107. 多層防御で強固なセキュリティを構築:その手法とメリット, 4月 30, 2025にアクセス、 https://cybersecurity-jp.com/column/10554
  108. 情報セキュリティ研修eラーニング13選。費用の目安や無料サービスも | アスピック, 4月 30, 2025にアクセス、 https://www.aspicjapan.org/asu/article/4561
  109. 介護職員向け研修の感想文の例文を紹介!書き方のポイントや注意点を解説, 4月 30, 2025にアクセス、 https://kaigoshoku.mynavi.jp/contents/kaigonomirailab/works/upskilling/5050/
  110. 【例文あり】介護の研修報告書の書き方をマスター|介護職員向け例文12選・基本形とスムーズに書くコツ - Rehab Cloud, 4月 30, 2025にアクセス、 https://rehab.cloud/mag/13541/
  111. BCP対策とは?策定手順や企業の取り組み事例をわかりやすく解説 | NECソリューションイノベータ, 4月 30, 2025にアクセス、 https://www.nec-solutioninnovators.co.jp/sp/contents/column/20230616_bcp.html
  112. BCP 策定の手引き - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/content/10802000/001118134.pdf
  113. 標的型攻撃メール訓練の効果的なシナリオ作成方法 - Selphish, 4月 30, 2025にアクセス、 https://security-academy.jp/blog/security/post-1069/
  114. BCP 策定の手引き - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/content/10802000/001249311.pdf
  115. 多層防御とは? 仕組みやメリット、事例を紹介 - SKYSEA Client View, 4月 30, 2025にアクセス、 https://www.skyseaclientview.net/media/article/2354/

健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ - 厚生労働省, 4月 30, 2025にアクセス、 https://www.mhlw.go.jp/stf/shingi/other-isei_210261.html