2015年11月24日にリリースされた「厚生労働省版ストレスチェック」については、さまざまな課題があります。
この記事では、「厚生労働省版ストレスチェック」のセキュリティの課題について、ご紹介します。
目次
厚生労働省版ストレスチェックのセキュリティ
ストレスチェックのテスト結果の取り扱いについては、細心の注意が必要です。
厚生労働省「労働安全衛生法に基づくストレスチェック制度実施マニュアル」によれば、ストレスチェックの結果の保存方法、保存場所などは、事業場の衛生委員会等で調査審議したうえで会社が決定し、それに基づいて会社が管理する事業場内の保管場所(結果が紙の場合)、企業内ネットワークのサーバー内(結果がシステム上のデータの場合)、委託先である外部機関の保管場所等で保管することができるとしています。
厚生労働省版ストレスチェックはプログラムをダウンロードするので、担当者が責任をもってセキュリティの管理を行い個人のストレスチェック結果について厳密な管理を行うことが必須となります。
▶ 厚生労働省「労働安全衛生法に基づくストレスチェック制度実施マニュアル」ストレスチェック結果の記録及び保存より
管理者に結果が集められる
「厚生労働省版ストレスチェック」は、「実施者用管理ツール」に全受診者の結果が集められます。したがって、厚生労働省版ストレスチェックを利用した場合には、「実施者用管理ツール」を設置するパソコンに、高い情報セキュリティ(外部への情報漏洩の防止や外部からの不正アクセスの防止)の確保が求められることになります。
「実施者用管理ツール」を設置するパソコンに求められるセキュリティ対策
先ほど「実施者用管理ツール」を設置するパソコンには、厳重なセキュリティ対策が求められると書きましたが、それではどれだけのセキュリティ対策が必要となるのでしょうか。
現在セキュリティ対策としては一般的に下記の仕組みがあります。
————
・ファイヤーウォール
・WAF(Webアプリケーションファイヤーウォール)
・IDS(不正侵入検知システム)
・ADS(不正侵入防止システム)
・WEB改ざん検知システム
・全WebページSSL暗号化通信
————
従来は「ファイヤーウォール」だけで対応していた時代もありましたが、国内外からの悪質な不正アクセスが増加している昨今、Webアプリケーションファイヤーウォール(WAF)や不正侵入の検出(IDS)や不正侵入からのディフェンス(ADS)をシステムとして組み込んでおくことが必要となりました。またgoogleを代表として全WebページSSL暗号化通信を推奨しています。
それぞれについて簡単に説明させていただきます。
・ファイヤーウォール
ファイヤーウォールを利用することで、外部からの不正なアクセスからデータを守り、必要な通信のみ通過させ、不要な通信を遮断することができます。
・不正侵入の検出(IDS)
IDSとはIntrusion Detection Systemの略で、多種多様なハッキングを検知できるシステムです。
・不正侵入からのディフェンス(ADS)
ADSとはActive Defense Systemの略で、IDS が攻撃を検知した場合、攻撃元からの通信を遮断するようにファイヤーウォールを制御し、リアルタイムで攻撃を阻止します。
そして、「厚生労働省版ストレスチェック」の「実施者用管理ツール」を設置するパソコン環境には、上記FWに加えWAF・IDS・ADSを導入して、さらにすべての通信を暗号化する必要があります。もし、これらの対策を万全に行うことができるのであれば、「厚生労働省版ストレスチェック」の利用に関してセキュリティ的に問題ありません。
しかし、これらの対策を行うことができない場合には、「厚生労働省版ストレスチェック」を利用するうえで、セキュリティが十分であるとはいえないことになります。
ストレスチェッカーのセキュリティ水準は
「厚生労働省版ストレスチェック」の「実施者用管理ツール」を設置するパソコン環境で十分なセキュリティ対策を行うことが難しい場合には、「厚生労働省版ストレスチェック」ではなく「ストレスチェッカー」をおすすめいたします。
(1)ストレスチェッカーは高水準のセキュリティ
ストレスチェッカーは、高水準のセキュリティ対策を実施しています。
FWに加えWAF・IDS・ADSが標準で装備され、すべての通信を暗号化されているのでセキュリティの面からも安心してご利用いただけます。
ストレスチェックの結果データなどの個人情報を万全に管理するために実施者および従業員本人以外の第三者に見られることがないように厳重にパスワード管理を行い、不正アクセスなどを防止するために徹底した対策をおこなっています。アクセス管理や持ち出し手段の制限、入退室管理や監視カメラの設置、外部からの不正アクセス防止等の対策、教育研修、外部監査を実施しております。
(2)ストレスチェッカーは第三者セキュリティ認証を取得
データ日本国内のデータセンターで厳重に管理されており、データセンターは、第三者セキュリティ認証(ISO/IEC 27001)を取得しています。
まとめ
「厚生労働省版ストレスチェック」の利用に関して、十分なセキュリティ対策を行うことができない場合には、ぜひ弊社のストレスチェッカーをご利用ください。
アクセス管理はもちろん、外部からの不正アクセス防止などについても、常にバージョンアップして対応しております。
なお下記記事では、「厚生労働省版ストレスチェック」の動作環境や保存期間の問題点についてもご紹介していますので、あわせてご覧ください。
法人向けストレスチェッカーへのお問合せ
法人向けストレスチェッカーは、官公庁、テレビ局、大学等に導入いただいている日本最大級のストレスチェックツールです。
社内の実施事務従事者にストレスチェックのシステムをご利用いただく『無料プラン』もございます。お気軽にお問い合わせください。