【事業計画の達成状況】（事業報告書 P191～P192）
情報セキュリティについては、技術的対策として、SOC チームによる日々の監視や、業務
用システムと外部接続環境との物理的分離、複数のセキュリティ対策製品の導入等により、
常に最新の脅威に備える体制を整備しています。
また、人的対策として、サイバー攻撃の巧妙化・多様化が進んだ情勢を踏まえ、協会の情
報セキュリティ水準の維持及び重大なリスクの発生を抑止することを目的とした「令和 6 年
度情報セキュリティ対策推進計画」を作成し、計画に基づき全職員を対象に情報セキュリテ
ィ教育や訓練・自己点検等の取り組みを実施しました。そのほか、外部監査人よる情報セキ
ュリティ監査を受け、セキュリティ対策を適切に実践できていることを確認しました。
①自己点検
情報セキュリティのルールを遵守しているか検証するため、2024 年 5 月に自己点検を実施
し、99.8％という高い水準の遵守率を維持していることを確認しました。
②

研修・訓練
2024 年 7 月から 2025（令和 7）年 1 月にかけて e ラーニング形式で年 4 回情報セキュリテ

ィ研修及び情報セキュリティに関するテストを全役職員に実施し、情報セキュリティ対策の
理解度の向上を図りました。理解度の低い職員には個別指導を行い、協会全体の情報セキュ
リティリテラシーを高める施策を行いました。
また、2024 年度からは役職別の情報セキュリティ研修を新たに実施することとし、適切に情
報セキュリティ対策を実践できるよう危機管理の啓発を図り、人的対策としての教育の充足
を図りました。
2024 年 10 月には CSIRT における「被害の拡散を防止するための迅速かつ的確な初動対応
の実施」及び「再発防止に向けた対策の速やかな実施」を念頭に置いて、厚生労働省と連携
したインシデント対応訓練（協会職員の端末に不審メールが送信され、メールを開封したこ
とによりマルウェア感染があった場合を想定）を実施することで、インシデント発生時の連
絡体制の確認及び連携の強化を図りました。
このほか、不審メールを受信した際に定められた手順に沿って対処しているかを確認する
ため、標的型メール攻撃のインシデント対応訓練を 2024 年 8 月から 11 月にかけて実施し、
初動対応や適切な報告方法を実践できるか検証しました。更に、外部からの不正アクセスに
対して十分なセキュリティ強度があるか検証するためのペネトレーションテスト（侵入テス
ト）を実施し、脆弱性がないことを確認しました。
③

最新のセキュリティ脅威への対応
社会情勢の変化やセキュリティ脅威のトレンドを常に注視し、協会の全職員が閲覧可能な

電子掲示板及び全国支部長会議等により、昨今の情報セキュリティインシデントの事例を用
いた注意喚起を随時行いました。また、情報セキュリティ対策を誰もが確実に実践できるよ

- 27 -