職員研修（サイバーセキュリティについて）を開催しました

12月7日に職員を対象にサイバーセキュリティの研修を開催しました。

既に調査されているデータを見ると、サイバーインシデントといわれるものの何割かは外部からの攻撃ではなく、内部の職員による行動が原因であることがわかっています。そのため、外部からの攻撃に対してシステムのセキュリティ面を強化するほかに、内部の職員の知識を深めること、きちんとした運用を決めることが重要だといわれています。いままでも情報提供による注意喚起は行ってきたものの、集合研修としては行えていなかったため、職員個人のセキュリティ意識により差が生じている可能性がありました。

事業団では電子カルテを中心とした総合医療情報システム、福祉情報システム、職員のグループウェアシステム、電子メールなどを使用しているため、多くの職員が毎日何かしらのネットワークに触れていることがほとんどとなっています。また、ネットワークは内部だけのものではなく、外部の業者とつながっているもの、インターネットを経由したものなど種類も様々となっています。また、サイバーインシデントはUSBメモリなどの可搬性記録媒体から持ち込まれることもあるため、使用する職員による注意が必要となります。リスクのある環境で仕事をしているという認識を持つことが第一に重要であると考え、研修の内容は基本的な知識を深める座学からはじめ、サイバーインシデントに関連する動画鑑賞、グループワークでの意見交換で構成しました。グループワークでは現場の現状を踏まえた意見が多く集まり、職員同士での共有をすることができていたように思います。

今回、集合研修を行うことで、職員のセキュリティに関する知識を深めること、なにに気をつけたらよいのか、インシデントが起こった場合にどのように行動すればよいのか、ということを少しでも整理することができたのではないかと考えています。

全職員が参加することは難しいものの、ネットワークに触れる機会のある職員に対しては十分に伝えていくことが必要と考えており、今回の研修に参加された方には研修の内容を各部門に持ち帰っていただき、伝達講習を行っていただくこととしています。ネットワークという特性上、個人の小さな気のゆるみから社会的にも大きな問題になることが十分に想定されます。自分は関係ないからと思わず、個人個人が責任感と緊張感をもち、サイバーセキュリティと正しく向き合っていくことを組織として取り組んでいくことが重要であると改めて感じました。