導入事例
お客様に聞く - 関東ITソフトウェア健康保険組合様
関東ITソフトウェア健康保険組合(以下、関東ITS健保)では、飛天ジャパンの「SecureVisit」を導入し、USBトークンを使った二要素認証によりweb認証を強化。全国約70余の契約健診機関との毎月の健診データ等のやり取りをクラウド上で管理し、作業量の削減と通信コストの削減に成功しました。
「SecureVisit」の導入に至った経緯とその効果について、IT推進部 次長 近藤 様と健康管理課 課長 成田 様に詳しくお話を伺いました。
関東ITソフトウェア健康保険組合の事業内容
― 関東ITS健保の事業内容を教えてください
関東ITソフトウェア健康保険組合(以下、関東ITS健保)は、社団法人コンピュータソフトウェア協会(旧社団法人日本パーソナルコンピュータソフトウェア協会)を母体とし、昭和61年4月に設立した健康保険組合で、全国健康保険協会(協会けんぽ)に代わり、健康保険に関する業務全般をおこなっています。
設立以来、健康づくりや疾病予防のための保健事業、また付加給付など協会けんぽよりも充実した独自の事業を積極的に実施し、組合員の皆様とその家族の健康をサポートしてきました。景気変動の影響を受けながらも、関連業界の堅実な伸びを反映して事業所数並びに被保険者数ともに順調に増加し、IT業界を代表する企業が数多く加入しています。
現在では、事業所数6,504社、被保険者数約38万人、被扶養者数約23万人となり、加入者総数は61万人を超えています。(平成26年10月末現在)
― 現在、利用している飛天ジャパンの製品を教えてください
関東ITS健保では契約健診機関との間でやり取りされる健診結果データ(個人情報)を安全に運用するために、「SecureVisit」を導入し、USBトークンを含めた二要素認証でセキュリティを強化しました。
「SecureVisit」の導入効果
― 「SecureVisit」を導入し、得られた効果を教えてください
加入者数が年々増加し、5名で行っていた健診結果データ(個人情報)を含む事務処理体制も限界に近づいていました。また、大量の健診結果データを郵便でやりとりするリスクも不安に感じていました。平成24年10月より「SecureVisit」によるセキュリティ面を強化したネットワークを導入したことで、加入者は現在も伸び続けていますが、体制を増員することなく事務処理が行えています。また、セキュリティに関する大きな安心感を得られています。
人員を投入することなく、事務処理量の増加に対応できたことで、人件費の抑制と同時に、健診結果データ郵送等に係る通信コストも大幅に削減できました。
「SecureVisit」導入の背景
― 飛天ジャパンの「SecureVisit」の導入に至った背景を教えてください
全国73ヶ所の契約健診機関と、年間約30万件を超える健診結果データ(個人情報)のやり取りをしています。
「SecureVisit」導入以前は、当組合と契約健診機関の間で郵送とメールを使い、健診結果データ(個人情報)の授受をしていました。しかし、この運用方法では、次の5つの課題や不安を感じていました。
1. 郵送による、セキュリティ面の不安
2. メールによる、セキュリティ面の不安
3. 郵送による、コスト増加
4. 郵送による、事務処理時間の増加
5. 年々増加する加入者に対する、事務処理能力の向上(人件費の増加)
「セキュリティ対策」と「コスト増加(郵送費、人件費)」の2点に課題を感じていました。
特に、「セキュリティ対策」については急務でした。当組合では、健診結果データという極めて繊細で重要な個人情報を扱っている以上、情報漏洩は是が非でも防がなければなりません。幸い、これまで紛失等による個人情報の漏洩は一度もありませんでした。しかし、この先も起こらないとは限りません。
― どのような課題に対して、「SecureVisit」を選んだのですか?
大きく分けて「健診の予約受付業務」と「健診の結果報告業務」があります。
「予約受付業務」は、予約受付データをMicrosoftのExcel(エクセル)を使って、契約健診機関が当組合に送信。当組合は、受信したExcelデータをCD-RW に落とし検疫処理。その数、週に約200枚。
「結果報告業務」は、健診結果データをCD-RWに落とし、当組合へ郵送。当組合は、受け取ったCD-RWを検疫処理します。その管理媒体は、年間1,000枚以上。万が一、データに不備があった場合、CD-RWを郵送し、再度やり直す必要がありました。
このように非定型的な事務処理が継続的に行われることもあり、CD-RWを介してのデータ授受に限界を感じていました。そこで、一連のフローをクラウド上のネットワークによって解決することにしたのです。
その中でも、非常に重要なセキュリティ面を、飛天ジャパンの「SecureVisit」を採用させていただきました。
― 「SecureVisit」を導入したことで得られた変化や効果を教えてください
最大の変化は事務処理を待たされることが、ほぼゼロになったことです。データが届いた瞬間から、処理作業をはじめることができます。派手さはありませんが、私たちにとってはとても重要な点です。
郵送の場合、投函してから手元に届くまで数日を要します。郵送物が健診結果データだけであれば片道ですが、そのデータに不備があった場合には、往復することになり、休日を含めると最低でも1週間、場合によっては、2週間を要します。さらに、契約健診機関からの返信が滞れば、電話による督促も発生します。到着したCD-RWは、専用端末を使い検疫処理をして、ようやく事務処理ができるようになります。また、メールの場合は時間的に待つことは少ないですが、受信データの検疫処理は同様に必要です。
ところが、「SecureVisit」を使ったネットワーク・システムに移行したことで、届いたデータは瞬時に作業に入ることができるようになりました。実務作業にストレスなく着手できる。時間を有効的に使うことができる。というのは、目には見えないことですが、大きな効果であると考えています。
「仮に、『前の仕組みに戻れ!』と言われても、もう戻れないよね(笑)」と、笑い話になるほどの大きな変化です。
選定時の希望条件
― セキュリティシステムを選ぶ上で、どのような条件をお持ちでしたか?
次の3つの希望がありました。
- クラウドを使った運用であること
- システムへのログインは、二要素認証とすること
- 契約健診機関も運用するため、運用管理・更新管理が容易なこと
特に、「二要素認証」については、厚生労働省の医政局政策医療課による「医療情報システムの安全管理に関するガイドライン 第4.1版(平成22年2月)」の中にある「認証強度の考え方」に基づく必要がありましたので、不可欠な条件でした。
「ICカード等のセキュリティデバイス+パスワードやバイオメトリクス+ICカードのように利用者しか持ち得ない2つの独立した要素を用いて行う方式(二要素認証)を採用することが望ましい。」 出典:厚生労働省「医療情報システムの安全管理に関するガイドライン(第4.1版) ― 6.5 技術的安全対策 ― 認証強度の考え方」より抜粋 |
そこで、このガイドラインに則り、この二要素認証には、「ID+PASS」+「セキュリティデバイス」を選ぶことにしました。そこで、飛天ジャパンの「SecureVisit」を選定しました。
「効率的に事務処理ができるようになった」と契約健診機関からも感謝される
― USBトークンは契約健診機関でもお使いです。どのような評価を受けますか?
契約健診機関によっては、ITに強い病院もあります。そのようなところからは、「安全で便利。それでいて早い」という評価をいただいています。また、実務面でもCD-RWの郵送には手間だけでなく、郵送コストもかかっています。それらのコスト削減までできたことも、感謝されている要因のひとつだと思いますね。
もっとも評価いただいているのは、当組合と同じく、すばやく事務処理ができることで時間を有効的に使えるようになったことでしょう。その点では、契約健診機関に「おかげで、事務処理が効率的になりました」と言っていただけるのは、とても嬉しいことですね。
― ITに強い病院があるということは、一方でITに苦手意識を感じる病院もあるということでしょうか?
そのとおりです。ITをあまり得意でない病院も、少ないですがあります。ですから、そのような方々のためにも、ネットワーク上で掲示板を使って質問に答える仕組みも用意してもらっています。すでに導入から2年を経過しましたので、今はだいぶ落ち着きましたが、導入当初はUSBトークンの使い方などでは、ずいぶんと活用させてもらいました。掲示板があったことで、積極的にITを駆使しようと思ってくださったと契約健診機関も少なくないと思います。
― 飛天ジャパンへの要望がありましたら、教えてください
IDとPASSだけでなく、USBトークンがある二要素認証のおかげで、70余の契約健診機関と年間約30万件のデータをセキュアに運用できるようになりました。運用だけでなく、その管理にも問題なく、信頼性の高さには驚くばかりです。加えて、コスト削減もできるようになり、事前に期待していた導入の効果は十分に得られたと実感しています。
今後も、いろいろなセキュリティ面で支援をいただきたいと考えています。飛天ジャパンのこれからの事業展開も含め、大いに期待していますので、これからもよろしくお願いします。
導入製品詳細
※ 関東ITソフトウェア健康保険組合のホームページ
※ 取材日時 2014年10月