] 【ユーザーインタビュー】調剤薬局が重要な情報をサイバー攻撃から「確実、かつ手軽に」守るためにやったこと | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

【ユーザーインタビュー】調剤薬局が重要な情報をサイバー攻撃から「確実、かつ手軽に」守るためにやったこと

2019.4.18

ツイート シェア 送る はてブ

都内に3店舗を構える調剤薬局のS薬局でマネジャーを務める志村さん(仮名)は、現在SECURIE SOHOを使って店舗のスタッフが利用するPCやスマートフォンなどのセキュリティを管理しています。調剤薬局は患者の病歴や薬歴など多くの個人情報などの重要な情報を扱うため、厳重な情報セキュリティ対策が求められます。そうした社会的要請に応えるために、S薬局ではどのようにSECURIE SOHOを活用しているのか、志村さんにお話をうかがいました。

DSCF2552.JPG

日々大量の個人情報を取り扱う調剤薬局のサイバーセキュリティ事情

患者が持参した処方箋に基づき、薬剤師が薬を調合して処方する調剤薬局は、一般のドラッグストアとは異なり、多くの個人情報を扱います。例えば、レセプト(調剤報酬明細書)の作成や送信を行うレセプトコンピュータ(レセコン)は、患者に対して処方した薬の履歴が逐一残っているため、情報セキュリティ対策には十分配慮する必要があります。

加えて近年ではレセプトコンピュータ以外にも、患者の個人情報をもしくはそれに準ずる情報を、PCやスマートフォンなどを通じてオンライン上でやりとりすることが多くなってきました。例えば、外部の医師や看護師などと連携しながら訪問医療などに従事する際には、患者に処方する薬の情報をメールやSNSを使ってやりとりすることもあるといいます。そのため、近年ではレセプトコンピュータに加えて、それ以外の業務端末に対する情報セキュリティの要件が厳しくなってきていると志村さんは指摘します。

「2017年5月に施行された改正個人情報保護法では、たとえ名前や住所、生年月日といった情報が含まれていなくても、複数の情報を突き合わせることで個人が特定可能な場合は、個人情報と見なされ保護の対象となると定められました。薬歴などの医療情報も、名前や住所、生年月日を伏せていたとしても、薬の種類と地域の組み合わせだけでも場合によっては個人が特定できます。そのため、こうした情報を普段やりとりする業務用PCやスマートフォンなどにも、レセプトコンピュータ同様のセキュリティ対策が求められるようになってきました」

DSCF2550.JPGしかし志村さんによれば、大手の薬局ならともかく、日本国内の調剤薬局の多くを占める中小薬局では業務用PCやスマートフォン、タブレット端末に対して特別なセキュリティ対策を施していないところが大半だといいます。中小薬局にITの専門家はいませんから、どうしても情報セキュリティに対する意識が希薄になりがちなのです。

「SECURIE SOHO」導入で店舗内のネットワークセキュリティ対策向上を図る

S薬局でも、PCにバンドルされているアンチウイルスソフトウェアを利用したり、各PCのパスワードを定期的に変更するなど、必要最低限のセキュリティ対策は行っていました。しかしサイバー攻撃による個人情報の大量漏えい事故のニュースを目にする機会が増えるにつれ、患者の個人情報を大量に管理する事業者として、必要最低限の対策だけでは不十分だと考えるようになったといいます。

「もともと弊社の代表が、調剤薬局業界の情報セキュリティに対する意識の低さに問題意識を持っていたこともあり、私たちが自ら業界に先駆けて情報セキュリティ対策に乗り出すべしと考えるようになりました。そのためには具体的にどのような対策を導入するべきか、以前から情報収集を行っていました」

そんな中出会ったのが、「SECURIE SOHO」でした。SECURIE SOHOにバンドルされている高機能なセキュリティルーターを設置するだけで、PCやスマートフォン、タブレット端末、ネットワークプリンターなどさまざまなデバイスのネットワークセキュリティを一元管理できるソリューションです。またエンドポイントセキュリティソフトウェア製品「Total Security 2019」もバンドルされており、台数の制限なくデバイスに自由にインストールして利用できます。

安価に導入でき、かつ普段の監視や運用もスマートフォンアプリを通じて簡単に行えるSECURIE SOHOは、S薬局のように店舗が小規模で、かつITの専門家がいない環境にとって打ってつけのソリューションだと思われました。そこでまず、3店舗あるうちの1つの店舗でSECURIE SOHOを導入してみることにしました。

SECURIEのスマホアプリで店舗のセキュリティ状況をいつでも確認

実際にセキュリティルーターを設置・設定したり、エンドポイントセキュリティソフトウェアをインストールする作業は、導入支援サービス(有償)を利用したため、S薬局側では特に大きな負担は発生しませんでした。

まずは最優先で守るべきレセプトコンピュータにエンドポイントセキュリティソフトウェアを導入するとともに、セキュリティルーターの配下で常にセキュリティ状況を監視できるよう設定しました。レセプトコンピュータ側で、接続先Wi-Fiルーターとしてセキュリティルーターを指定するだけで、極めて簡単にセキュアなインターネットアクセス環境を実現できました。

同様に、店舗内で利用している事務用PCとタブレット端末にもエンドポイントセキュリティソフトウェアを導入し、セキュリティルーターの監視対象としました。加えてネットワークプリンタ装置も監視対象とし、店舗内で利用されているすべての業務用デバイスを常時監視し、何らかのセキュリティリスクや脆弱性が見つかったら即座に対応できる体制を整えました。

また、店舗で働く薬剤師や事務員などのスタッフが個人で利用するPCやスマートフォン向けには「ゲストWi-Fi機能」を利用して、セキュリティルーターに接続できるよう設定しました。これにより、レセプトコンピュータや業務用端末とは分離したネットワークで管理しつつ、インターネットを通じたサイバー攻撃のリスクにさらされていないか、あるいは危険なインターネット利用が行われていないか監視できるようにしました。

DSCF2547.JPG

こうした監視状況は、志村さんのスマートフォンにインストールされたSECURIE専用アプリケーションで、いつでもリアルタイムで確認できるようになっています。

「多忙な業務の合間のすき間時間を使って、スマートフォンで手早く監視状況を確認できるので、とても助かっています。幸いなことに、これまで深刻なセキュリティリスクに直面したことは一度もないのですが、それでもときどきSECURIEが脅威を検知・除去したことを知らせてくれるので、油断することなく今後も監視を続行していきたいと思います。現在は1店舗のみでの運用ですが、確かな導入効果が感じられるので、今後はほかの店舗にもぜひ同じ仕組みを展開していきたいですね」