ITツールの無断インストールは事故の元になります
ITツールやアプリ、ソフトウェアなどを会社のパソコンに無断でインストールする行為はセキュリティ対策上、問題があります。
もしインストールしたものがウィルスに感染していた場合、社内LANを通じて、社内に感染が広まってしまいます。
今回は厚労省所管団体の医療費請求書の手抜き審査に関わるニュースから、セキュリティ対策を振り返ってみたいと思います。
医療費請求書のずさん審査
問題となったのは「社会保険診療報酬支払基金」という厚労省の所管団体です。
この団体は何をしている団体なのかと言いますと、
病院などの医療機関が提出した診療報酬明細書をチェック・審査して、患者の所属する健康保険組合に医療費を請求します。
この診療報酬明細書の内容に誤りがないか職員がパソコン上で目視チェックするそうです。
この目視チェックですが、画面上の診療報酬明細書を1秒以上見ることが義務づけられているそうです。
たった1秒?
たったの1秒で何が確認できるのでしょうか?
そんなことで、診療報酬明細書の誤りが見抜けるのでしょうか?
ですが、この団体の職員はこの1秒のチェックさえも、したくなかったらしく、以下のような手段で手抜き審査を行っていました。
画面上の書類を一定時間ごとに自動的にめくるツールを導入し、全く目視チェックをしていないのに、やったように見せかける。
そのツールは外部のソフトをダウンロードし、USBメモリを経由して、共有フォルダに格納したそうです。
セキュリティ上、気になる点
まず1秒の目視チェックというのが、果たして正当な審査なのかという点です。
1秒という意味はチラ見でよい、見たということにすればよいということではないでしょうか?
本来、審査のための文書チェックでれば、チェックポイントを定めておき、チェックリストにチェックした証跡を残すべきかと思います。
このような業務監査が機能していないため、審査が形骸化されている可能性があります。
次に「外部のソフトをダウンロードし、USBメモリを経由して、共有フォルダに格納した」という点についてです。
ここでは以下のような是正策が検討されます。
- ソフトの使用については、管理者(管理部署)が定めたもの以外は使用禁止とする。
- USBの使用は原則不可とし、パソコンにはUSBの使用を停止する設定をしておく。
- 不正なソフトがインストールされたことを検知するシステムを導入しておく。
ITツールの取り扱いは利便性がある一方、リスクを伴います。
これを機会に以下の投稿も参照していただき、セキュリティルールを見直しておきましょう。
中小企業のセキュリティ対策ガイドライン 付録7リスク分析シート①
中小企業のセキュリティ対策ガイドライン 付録7リスク分析シート②
中小企業診断士として経営相談、小さなIT対応相談もOKです!
- Excelでデータ管理しているけど、もっと効率化したい
- システム導入したいけど何から手をつけてよいか……
- ITや経営で気軽に相談できる相手がいれば などなど
|
|
社長のお悩みお聞かせください!
