た、災害発生時の本部の初動対応について、フロー図を作成し、マニュアル等とともに本部の
各事務室に配備しました。
職員向けの研修としては、階層別研修において、協会における災害等発生時の対応について
講義を行いました。また、新たな取組として、全職員を対象に地震発生時の初動対応に係るeラ
ーニング研修を8月に実施しました。
ⅴ）外的環境の変化に対応した情報セキュリティ体制の整備
情報セキュリティについては、技術的対策として、SOC43チームによる日々の監視や、業務用
システムと外部接続環境との物理的分離、複数のセキュリティ対策製品の導入等により、常に
最新の脅威に備える体制を整備しています。
また、人的対策として、サイバー攻撃の巧妙化・多様化が進んだ情勢を踏まえ、協会の情報
セキュリティ水準の維持及び重大なリスクの発生を抑止することを目的とした「令和6年度情
報セキュリティ対策推進計画」を作成し、計画に基づき全職員を対象に情報セキュリティ教育
や訓練・自己点検等の取り組みを実施しました。そのほか、外部監査人による情報セキュリテ
ィ監査を受け、セキュリティ対策を適切に実践できていることを確認しました。
①自己点検
情報セキュリティのルールを遵守しているか検証するため、2024年5月に自己点検を実施し、
99.8％という高い水準の遵守率を維持していることを確認しました。
②研修・訓練
2024年7月から2025（令和7）年1月にかけてeラーニング形式で年4回情報セキュリティ研修及
び情報セキュリティに関するテストを全役職員に実施し、情報セキュリティ対策の理解度の向
上を図りました。理解度の低い職員には個別指導を行い、協会全体の情報セキュリティリテラ
シーを高める施策を行いました。
また、2024年度からは役職別の情報セキュリティ研修を新たに実施することとし、適切に情
報セキュリティ対策を実践できるよう危機管理の啓発を図り、人的対策としての教育の充足を
図りました。
2024年10月にはCSIRT44における「被害の拡散を防止するための迅速かつ的確な初動対応の実
施」及び「再発防止に向けた対策の速やかな実施」を念頭に置いて、厚生労働省と連携したイ
ンシデント対応訓練（協会職員の端末に不審メールが送信され、メールを開封したことにより
マルウェア感染があった場合を想定）を実施することで、インシデント発生時の連絡体制の確
認及び連携の強化を図りました。
このほか、不審メールを受信した際に定められた手順に沿って対処しているかを確認するた
め、標的型メール攻撃のインシデント対応訓練を2024年8月から11月にかけて実施し、初動対応
43

SOCとはSecurity Operation Centerの略です。24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や
分析、対応策のアドバイスを行います。

44

CSIRTとはComputer Security Incident Response Teamの略です。情報セキュリティインシデントに対処するため、協会に設
置された体制のことです。

- 191 -