練・自己点検等の取組を実施しました。そのほか、外部監査人による情報セキュリティ監査を受
け、セキュリティ対策を適切に実践できていることを確認しました。
①自己点検
情報セキュリティのルールを遵守しているか検証するため、2024年5月に自己点検を実施し、
99.8％という高い水準の遵守率を維持していることを確認しました。
②研修・訓練
2024年7月から2025年1月にかけてeラーニング形式で年4回情報セキュリティ研修及び情報セ
キュリティに関するテストを全役職員に実施し、情報セキュリティ対策の理解度の向上を図り
ました。理解度の低い職員には個別指導を行い、協会全体の情報セキュリティリテラシーを高
める施策を行いました。
また、2024年度からは役職別の情報セキュリティ研修を新たに実施することとし、適切に情
報セキュリティ対策を実践できるよう危機管理の啓発を図り、人的対策としての教育の充足を
図りました。
2024年10月にはCSIRT19における「被害の拡散を防止するための迅速かつ的確な初動対応の実
施」及び「再発防止に向けた対策の速やかな実施」を念頭に置いて、厚生労働省と連携したイン
シデント対応訓練（協会職員の端末に不審メールが送信され、メールを開封したことによりマ
ルウェア感染があった場合を想定）を実施することで、インシデント発生時の連絡体制の確認
及び連携の強化を図りました。
このほか、不審メールを受信した際に定められた手順に沿って対処しているかを確認するた
め、標的型メール攻撃のインシデント対応訓練を2024年8月から11月にかけて実施し、初動対応
や適切な報告方法を実践できるか検証しました。更に、外部からの不正アクセスに対して十分
なセキュリティ強度があるか検証するためのペネトレーションテスト（侵入テスト）を実施し、
脆弱性がないことを確認しました。
③最新のセキュリティ脅威への対応
社会情勢の変化やセキュリティ脅威のトレンドを常に注視し、協会の全職員が閲覧可能な電
子掲示板及び全国支部長会議等により、昨今の情報セキュリティインシデントの事例を用いた
注意喚起を随時行いました。また、情報セキュリティ対策を誰もが確実に実践できるよう、業務
における留意する事項をわかりやすくまとめた「協会けんぽセキュリティ通信」の発行を開始
し、2024年度ではテーマ別に4回配信しました。
これらの取組を実施したことにより役職員の情報セキュリティリテラシーが適切に維持さ
れ、結果として情報セキュリティインシデントは発生しませんでした。
（9）費用対効果を踏まえたコスト削減等
調達にあたっては、契約の透明性を高めるとともに調達コストの削減を図るため、100万円
を超える調達は一般競争入札を原則とし、随意契約は「事務所の賃貸借」や「システムの改

19

CSIRTとはComputer Security Incident Response Teamの略です。情報セキュリティインシデントに対処するため、協会に設置
された体制のことです。

- 89 -