小売業 LT 8,000CL
オプション:個別画面操作録画、リモート操作

レセプト端末やPOSレジ端末のセキュリティ対策の強化にも

過重労働対策やセキュリティ診断で多面的に操作ログを活用

管理本部 IT・物流開発部 IT開発チーム 係長:西山 亮子

株式会社ココカラファインは、ドラッグストア事業と調剤事業を中心に、介護、在宅調剤、インターネット販売など、幅広いヘルスケアサービスを提供しています。お客様や患者様にとって身近な存在になり、より便利に来店してもらえるように、全国に1,300以上の店舗を展開。地域密着型の「健康サポート薬局」を目指して、調剤専門店はもちろん、ドラッグストアに調剤薬局を併設した「ドラッグ&調剤」店舗の出店を強化しています。

導入経緯

お客様の個人情報を守るために
“調剤薬局内のPCのログ管理”が必要に

以前は、内製の資産管理ツールを使用してPCを管理していましたが、会社の規模拡大に伴い管理するPCが増加したことや、Windows 10を導入したことで今後ますますOS関連の対応が増えていくことが予想されたため、新たなツールの導入を検討しました。当社はドラッグストアのほか調剤薬局も運営しており、お客様の個人情報を取り扱うため、ログを記録してセキュリティ対策にも取り組めることを選定条件としました。そして、複数の製品を比較検討した結果、インストールしても端末が重くならず、管理画面が直感的で使いやすかった「SKYSEA Client View」を選びました。

調剤薬局では、レセプト(調剤報酬明細書)を作成する専用端末(レセコン)を使用しており、このレセコンへのセキュリティ強化は必須でした。「SKYSEA Client View」の導入が、レセコンの動作に影響しないかを懸念していましたが、問題なく安定して稼働しています。

最近では、ドラッグストアで使用しているPOSレジ端末にも導入しましたが、こちらも問題なく稼働しています。

導入効果

“ログを活用したセキュリティ診断”を実施
定期的なポリシーの見直しに活用

当社では、セキュリティ強化策の一環として外部ベンダーに委託し、定期的にセキュリティ診断を実施しています。一定期間のログを抽出して調べてもらい、不要なデータの持ち出しや、不審なWebサイトへのアクセスなどがないかを分析し、その結果を基に情報セキュリティポリシーを現状に則したものに変更しています。また、ウイルス感染が疑われるPCがあるときは、調査のためにログを活用することもあります。

このように、さまざまな用途でログを活用していますが、ログには機微な情報が含まれるため、多くの人が出入りする執務スペースで業務を行う管理担当者については、ログが見られないように管理権限を制限。本来ログを見てはいけない社員の目に触れることがないよう、必要な場合は、本社のサーバールームで確認するようにルールを徹底しています。

“サービス残業防止の取り組み”強化に
操作ログや画面録画を活用

以前から会社全体で過重労働対策に取り組んできましたが、より正確に勤務状況を把握するため、PCの起動・終了時刻のログを人事部門に提出し、従業員の勤怠情報と照合しています。しかし、サービス残業が疑われるログを見つけても、作業者を特定することが難しいケースもあります。その際は、「画面操作録画」機能で実際の操作を確認し、どこまでが該当者の操作なのか確認しています。

現在は、勤務状況の把握に起動・終了ログを確認していますが、部署によっては業務上、PCの電源をつけたまま帰宅することもあるので、今後はマウスやキーボードを一定時間操作していない場合に記録される操作開始 / 終了ログも活用できればと考えています。

アプリ制御やIPアドレス管理を活用し
“業務の効率化”を実現

当社では「Windows 10 Pro」を採用していますが、アプリケーションの実行を管理するAppLockerでは、ストアアプリの個別制御ができません。一括で制御してしまうと、電卓など業務で必要なものまで禁止されてしまうため、Active Directoryのグループポリシーのソフトウェア制限を使って個別で制御していました。しかし、ストアアプリが増えるたびに設定を行う必要があり、メーカーに依存したストアアプリの制御までは手が回っていませんでした。そこで、手軽に個別で禁止できる「アプリケーション実行アラート」を活用しています。本機能を使えば一覧からストアアプリを選択して簡単に禁止できます。定期的に一覧を確認し、不要なストアアプリが増えていてもすぐに禁止できるので手間がかかりません。

また、導入後はIT機器の台帳管理にも活用しています。例えばIPアドレスの管理については、営業事務所や店舗での使用状況を自動で集約し、管理画面上で確認しています。作業を自動化することで担当者の負荷も下がり、本来の目的である情報セキュリティ対策や資産管理に時間を割けるようになりました。

当社の情報セキュリティ方針として、社員には少しでもおかしいと思うことがあれば、すぐに連絡してもらい、詳細を後日レポートとして提出してもらいます。社員には「今後の情報セキュリティ対策に役立てたい」と伝えることで、前向きに協力してもらえる体制作りを心がけています。報告しやすいオープンな雰囲気作りも情報セキュリティ対策には大切だと感じていますので、今後も意識して取り組んでいきます。

2019年9月取材

ページのトップへ