WEB版ストレスチェックの見分け方

ストレスチェックを提供する会社が増えていますね。

紙媒体での提供とWEB版での提供があり、
一般的な傾向として、WEB版の方が利便性が高く、安価だというイメージがあるようです。

 こういう時代ですから、WEBを活用して制度うんようしたくなる気持ちは理解できます。

しかし、安いという理由でWEBのストレスチェックを実施するのは、かなりリスクがあります。

 

なんといってもセキュリティの問題ですね。
個人のストレスチェックの情報が外部にもれては一大事です。

厚生労働省が公開している『ストレスチェック制度実施マニュアル』には次のような記述があります。

 

「インターネットまたは社内のイントラネットなどICT(情報通信技術) を利用してストレスチェックを実施する場合は、以下の3つの要件が全て満たされている必要があります。

  1. 事業者及び実施者において、個人情報の保護や改ざんの防止(セキュリティの確保)のための仕組みが整っており、その仕組みに基づいて実施者又はその他の実施事務従事者による個人の検査結果の保存が適切になされていること。
  2. 本人以外に個人のストレスチェック結果を閲覧することのできる者の制限がなされている(実施者以外は閲覧できないようにされている)こと。
  3. 実施者の役割(調査票の選定、評価基準の設定、個人の結果の評価等)が果たされること

ICT を活用した場合の情報管理については、事業者が留意すべき事項として、
健康診断結果と同様に、記録の保存に関して
「医療情報システムの安全管理に関するガイドライン」を参照するようにしてください。」

「医療情報システムの安全管理に関するガイドライン」てなんでしょう?

法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン(紙等の媒体による外部保存を含む)及び医療・介護関連機関における個人情報保護のための情報システム運用管理ガイドラインを含んだガイドラインとして厚生労働省が作成しているものです。

現在、『第4.3版 平成28年3月』が最新版として公開されています。

『第4.2版』については『Q&A』も公開されており、

ログインパスワードに関して、次のような具体的な内容も記載されています。

 

Q 、「英数字、記号を混在させた 8 文字以上の文字列が望ましい。」とあるが、8 文字の根拠は何か。


A.パスワードファイルが盗まれる等で、無制限に繰り返して解析が可能であれば、8文字のパスワードは数時間~10数時間で破られることは良く知られています。

ここで「8文字以上の文字列が望ましい」としていますが、
パスワードファイルは盗まれることなく、また3回パスワードを間違えると、
一定期間入力できないなどの対策が取られていることが前提です。

この対策の程度によって、安全と見なされる文字数や同じパスワードを使い続けて良い期間が変わります。

少なくとも8文字で、長くても2ヶ月以内に変更、としていますが、
ガイドラインではパスワードだけによる認証は推奨しておりません。

理由は前述のように、パスワード入力時の繰り返し解析を防止する対策が不十分であったり、
いくつかのパスワードを循環させて使うなどの運用上の脱ルール行為があれば、安全とは言えないからです。

できるだけ早く2要素以上の認証を組み合わせることを推奨しています。

ストレスチェックの業者の営業社員に、

「おたくのシステム、サーバのセキュリティ対策大丈夫?」

と質問したら、相手は必ずと言っていいほど、
「大丈夫、ご心配いりません」と答えるでしょう。

 

もし心配であれば、

「医療情報システムの安全管理に関するガイドラインの要件はクリアされている?」

と質問してみると良いかもしれません。

営業社員は即答できないにしても、
システム責任者が
「それ何ですか?」と答えたら、

 

ちょっと要注意!!

 

PAGETOP