検診・検査事業を通じて都民の健康を支える公益財団法人東京都予防医学協会。同会は Google Workspace 導入と全職員への PC 配布を機に、業務非効率とセキュリティの懸念の払しょくを目指し、HENNGE Oneを導入しました。デジタル推進戦略室とシステム管理部の方々に、脱PPAP の実現や、デバイス制御によるセキュアな環境構築など、医療情報ガイドラインへの準拠から将来のゼロトラストまでを見据えた、メールセキュリティと認証強化の歩みを伺います。
業務非効率とセキュリティ懸念の払しょくを目的にクラウド移行と1人1台PCの展開を決断
— 貴会の事業概要についてお聞かせください。
髙橋氏: 当協会は、昭和24年の発足以来、「予防医学の普及啓発」と「精度の高い検診・検査の提供」を通じて、都民の健康増進に寄与し続けています。巡回健診や施設内健診、精度の高い臨床検査事業において豊富な実績を持ち、信頼される医療・保健サービスの提供に取り組んでいます。
— 従来環境では、どのような課題がありましたか?
髙橋氏:共有端末を交代で利用していたため、メール確認やネット検索のためにPCが空くのを待つ、非効率な時間が職場内のあちこちで発生していました。また、メールの受信ボックスも名前分けされているだけで、互いに閲覧できてしまう状態でした。こうした業務非効率とセキュリティの懸念を払しょくすることが、今回の刷新の狙いでした。
— 今回、環境を刷新した内容と、その目的を教えてください。
髙橋氏:職員250名には1人1台、短時間勤務者には共用PCを配布する形に刷新し、グループウェアとしてGoogle Workspace を導入しました。従来の閉域網内での運用からインターネット経由でクラウドへ繋がる形に変わるため、これまでの境界型防御だけでは安全性を維持できません。協会として要配慮個人情報を扱う責任を果たすため、高度なメールセキュリティを担保する基盤として、HENNGE Oneの導入を決定しました。
認証とメールセキュリティの統合
運用負荷を抑えるワンソリューションの優位性
— 数ある製品の中から、HENNGE Oneを選定された理由は?
髙橋氏: Google Workspace との親和性に加えて、課題であるメール誤送信対策や脱PPAP、認証強化が実現できることが決め手でした。さらに医療情報を扱う機関として、厚生労働省の「医療情報システムの安全管理に関するガイドライン」が求める二要素認証(多要素認証)への対応も意識しました。これらを個別のツールで実施すると管理負荷が膨大になります。全員が非エンジニアである我々にとって、1ソリューションで実現できるHENNGE Oneは、まさに理想的なソリューションでした。
— HENNGE製品は、以前からご存じでしたか?
髙橋氏:私が渉外部門にいた2020年頃、ある自治体から届いたメールでHENNGE Secure Downloadによるファイル共有をユーザーとして経験し、「こういう時代なのか」と印象に残っていました。自治体での実績が豊富、かつ国産サービスであることは、医師会や自治体などとのやり取りが多い当会にとって、非常に大きな安心材料となりました。
非エンジニアチームを支えた
HENNGEの「顔の見える」サポート
— 導入から構築までの具体的な進め方についてお聞かせください。
髙橋氏: 2023年11月に導入を決定し、翌年2月に利用開始というタイトなスケジュールでした。何かあった時は面談を設けるなど、親身に相談に乗ってくれました。この「顔の見える」サポートがあったからこそ、短期間でも安心して進めることができました。
生駒氏: セキュリティポリシーをどう設定するかに悩みましたが、まずは標準仕様を用い、早期の運用開始を優先しました。その上で、実務で不都合があればその都度見直すようにしたことで、スムーズに利用が開始できました。
— その後、2024年11月に、HENNGE One Ultra Suite のProプランへアップグレードされた理由は?
髙橋氏: 当初はBasicプランでスモールスタートしたのですが、運用を進める中で、回数無制限のメール訓練機能やファイル共有状況の可視化などの機能が揃うProプランへの移行が、ガバナンス強化には必要だと判断しました。
脱PPAPから厳格なアクセス制御まで
多層的な防御による安全なクラウド利用
— 具体的な機能活用についてもお聞かせください。まず、メールセキュリティの効果はいかがでしょうか。
髙橋氏: HENNGE Email DLPの活用により、従来のZIP暗号化での送付を廃止し、脱PPAPが実現しました。検診結果など要配慮個人情報を扱う当会にとって、より安全なURLダウンロード方式(HENNGE Secure Download)への移行は、セキュリティの強化と業務効率化を両立させる大きな一歩となりました。
— 利用当初、自治体様に利用交渉いただいたと伺いました。
髙橋氏: 導入直後、渉外担当から「自治体のお客様がURLではじかれ、ファイルを受信できないので、許可リスト(ホワイトリスト)に追加してほしい」との声が上がりました。しかし、個別に許可リストを増やすことは管理工数とリスクの両面で望ましくありません。そこで、自治体のシステム部門の方へ直接お電話してご説明したところ、利用を承諾いただけました。サービスとしての普及度や、自治体における豊富な導入実績が、信頼の後押しになったと思います。
— HENNGE Access Controlでの認証状況はいかがですか?
生駒氏: HENNGE Oneのポータルも活用して、デバイス証明書を配布した特定の端末と、許可されたネットワーク(IP制限)のみアクセスを認める運用を行っています。カフェなどの公衆Wi-Fiからはアクセスできないよう制限し、外出時は貸し出し用のモバイルルーターとデバイス証明書が一致して初めてアクセスが許可される仕組みです。
— 標的型攻撃メール訓練HENNGE Tadrillの実施状況はいかがでしょうか。
生駒氏: Tadrillを用いた訓練は、昨年4回実施しました。新入社員がマルウェアを想定した添付ファイルをクリックしてしまうケースもあり、ツールを入れるだけでなく、教育の重要性を再認識できました。現在は、警視庁の方を招いての講演会などを、実務的な教育と組み合わせて運用しています。
—管理画面の操作性など、運用面での評価はいかがでしょうか。
大宮氏: 我々のチームはITを専門としてこなかったメンバーが中心で、技術的な知識が浅い者も多かったのですが、HENNGE Oneの管理画面は直感的に操作でき、マニュアルも非常に充実していたため、大きな不安を感じることなく業務に入ることができています。操作も分かりやすく、ユーザーの追加・停止といった日々の管理業務もスムーズに行えています。
— ユーザーコミュニティ「chameleon」は、いかがでしょうか?
生駒氏: イベントでお聞きした他社の「メールの一時保留は、デフォルトの1分ではなく10分に設定」といった実例が、参考になりました。一方的な情報提供型の一般的なコミュニティと違い、ユーザー同士で「実務に即した知恵」を出し合えて、「なりすましメールの増加」などのトレンドもいち早く知ることができ、とても有益だと感じています。
将来のフルクラウド化を見据え、
ゼロトラストセキュリティの実現を目指す
— 今後のDX推進への展望をお聞かせください。
大宮氏:私は今年の1月に検査技師からDX推進担当へ異動しました。現場で培った知見を活かし、クラウド基盤を活用した業務アプリの開発などを通じて、実務上のボトルネック解消やペーパーレス化を推進しています。今後も現場の利便性と業務効率を、さらに高めていきたいと考えています。
— 最後に、HENNGEおよびHENNGE Oneに対する期待をお聞かせください。
髙橋氏: 将来的には、医療情報システム自体のフルクラウド化を目指していくことになるでしょう。そのためにも、HENNGE Oneを認証の要としたセキュリティ体制の構築、ゼロトラストの実現に向けて歩みを進めたいと考えています。我々のようにIT専門人材が少ない組織にとって、HENNGEはとても心強いパートナーです。今後さらに機能が拡充されても、今の使い勝手の良さとサポートの質の高さを維持していただき、我々の挑戦を支え続けてほしいと期待しています。