児童館・福祉施設のパソコンセキュリティ対策|最低限やるべき10項目

児童館、学童保育、放課後児童クラブ、障害福祉施設、介護施設などでは、日常業務の中で多くの個人情報を取り扱います。

例えば、次のような情報です。

  • 子どもや利用者の氏名
  • 住所・電話番号
  • 保護者や家族の連絡先
  • 緊急連絡先
  • 健康状態やアレルギーなどの情報
  • 障害や支援内容に関する情報
  • 施設の利用記録
  • 行事や活動中の写真・動画
  • 職員の個人情報

こうした情報が入ったパソコンを使っているにもかかわらず、実際の現場では、専任の情報システム担当者がいないことも珍しくありません。

職員が通常業務の合間にパソコンを管理していたり、購入した販売店に設定を任せたままになっていたりする施設も多いのではないでしょうか。

セキュリティ対策というと、高価なウイルス対策ソフトやEDRの導入を思い浮かべるかもしれません。

しかし、小規模な児童館や福祉施設では、まずWindowsの更新、アカウント管理、USBメモリー、写真の保存場所、バックアップ、異常時の連絡方法など、基本的な対策を確実に行うことが重要です。

この記事では、児童館や福祉施設が最低限実施しておきたいパソコンのセキュリティ対策を、10項目に分けて解説します。

この記事の結論

児童館や福祉施設のセキュリティ対策は、高価な製品を導入するだけでは完成しません。

「誰が使うのか」「どこに保存するのか」「退職者のアカウントをどうするのか」「事故が起きたら誰に連絡するのか」まで決める必要があります。

Contents
  1. 児童館・福祉施設でセキュリティ対策が必要な理由
  2. 最低限やるべきパソコンセキュリティ対策10項目
  3. 1.Windows Updateを止めない
  4. 2.Microsoft Defenderなどのウイルス対策を有効にする
  5. 3.職員ごとにアカウントを分ける
  6. 4.普段使う職員に管理者権限を与えない
  7. 5.共有パスワードをやめ、多要素認証を利用する
  8. 6.USBメモリーの利用ルールを決める
  9. 7.個人情報や写真の保存場所を決める
  10. 8.バックアップを複数用意する
  11. 9.退職・異動した職員のアカウントを停止する
  12. 10.不審メールや感染時の連絡方法を決める
  13. 職員が不審なメールを開いた場合の初動対応
  14. Microsoft Defenderだけで運用してもよいのか
  15. EDRは児童館や小規模施設にも必要なのか
  16. 小規模施設向けの現実的なセキュリティ構成
  17. すぐに使えるセキュリティチェックリスト
  18. まとめ
  19. よくある質問
  20. 参考資料

児童館・福祉施設でセキュリティ対策が必要な理由

児童館や福祉施設では、一般的な会社以上に慎重な取り扱いが必要な情報を扱うことがあります。

特に、健康状態、障害、支援内容、家庭環境などに関する情報は、本人や家族に大きな影響を与える可能性があります。

また、子どもの写真や動画についても、単なる行事記録だからといって自由に保存・共有してよいわけではありません。

保存場所、閲覧できる職員、利用目的、保護者への説明、退職者が引き続き閲覧できないかなどを確認する必要があります。

個人情報保護法では、事業者に対して、個人データの漏えい、滅失、毀損を防ぐために必要かつ適切な安全管理措置を講じることが求められています。

小規模な施設だから対策をしなくてもよいのではなく、施設の規模、取り扱う情報、職員数、利用しているシステムなどに応じた現実的な対策が必要です。

最低限やるべきパソコンセキュリティ対策10項目

1.Windows Updateを止めない

最初に確認したいのが、Windows Updateです。

WindowsやOffice、Webブラウザーなどには、発見された不具合や脆弱性を修正するための更新プログラムが定期的に配信されています。

更新を長期間止めたままにすると、すでに攻撃方法が知られている脆弱性がパソコンに残り続けます。

ウイルス対策ソフトを導入していても、Windowsやソフトウェア自体が古いままでは、十分な対策にはなりません。

確認したいこと

  • サポート中のWindowsを利用しているか
  • Windows Updateが無効になっていないか
  • 更新後の再起動を何週間も延期していないか
  • Microsoft Officeが更新されているか
  • Google ChromeやMicrosoft Edgeが更新されているか
  • Adobe Acrobatや業務ソフトが更新されているか

業務中に再起動されると困るという理由で、更新を止めたくなることもあります。

その場合は更新を無効にするのではなく、閉館後や利用者が少ない時間帯に再起動するルールを決めましょう。

現場でのルール例

毎月第2水曜日の業務終了後に、Windows Updateと再起動を確認する。

2.Microsoft Defenderなどのウイルス対策を有効にする

Windows 10やWindows 11には、Microsoft Defender Antivirusが標準搭載されています。

パソコンが1台から数台程度の小規模な施設であれば、Microsoft Defenderを正しく有効にして運用する方法も現実的です。

Microsoft Defenderでは、ウイルスやマルウェアのリアルタイム検知、クラウドを利用した保護、定期スキャン、ファイルの隔離などを行えます。

確認したい設定

  • リアルタイム保護が有効になっている
  • クラウド提供の保護が有効になっている
  • 改ざん防止が有効になっている
  • Windowsファイアウォールが有効になっている
  • ウイルス定義が更新されている
  • 保護の履歴に未対応の警告が残っていない

ウイルスバスターなどのサードパーティー製品を導入している場合も、契約しているだけで安心せず、正常に動作しているかを確認しましょう。

管理画面に警告が表示されていても、誰も確認していなければ対策にはつながりません。

複数台を管理する場合

施設やパソコンが増えてきた場合は、各パソコンを職員任せにするのではなく、一元管理できる法人向け製品を検討します。

Microsoft 365 Business Premiumを利用している場合は、Microsoft Defender for BusinessやMicrosoft Intuneを利用できる構成があります。

Microsoft 365を利用していない場合や、自施設で設定できる担当者がいない場合は、販売店の支援を受けられる法人向けウイルス対策やマネージドサービスも選択肢になります。

3.職員ごとにアカウントを分ける

児童館や福祉施設では、1台のパソコンを複数の職員が利用することがあります。

このとき、「職員用」などの共通アカウントを全員で使っているケースがあります。

共通アカウントは手軽ですが、次のような問題があります。

  • 誰がファイルを開いたのか分からない
  • 誰がデータを削除したのか分からない
  • 退職者がパスワードを知ったままになる
  • パスワードが多くの人へ広がる
  • 不正利用があっても利用者を特定できない
  • 職員ごとに閲覧権限を変えられない

可能であれば、職員ごとにWindows、Microsoft 365、Google Workspace、業務システムなどのアカウントを発行しましょう。

職員ごとのアカウントがあれば、退職や異動の際に、その人のアカウントだけを停止できます。

避けたい運用

全職員が「jidokan」「staff」などの共通IDを使用し、パスワードを付箋でパソコンに貼っている。

4.普段使う職員に管理者権限を与えない

Windowsのアカウントには、大きく分けて「標準ユーザー」と「管理者」があります。

管理者は、ソフトウェアのインストール、システム設定の変更、他のアカウントの作成などを行えます。

普段使用する職員のアカウントに管理者権限を与えていると、不審なソフトウェアが実行された際に、パソコン全体へ大きな変更を加えられる可能性があります。

可能であれば、次のように分けます。

  • 日常業務用:標準ユーザー
  • 設定変更用:管理者アカウント

ソフトウェアをインストールする場合だけ、管理者のパスワードを入力する運用にします。

ただし、管理者パスワードを全職員へ知らせてしまうと、分けた意味が薄くなります。

管理者アカウントを利用できる職員や保守会社を限定しましょう。

5.共有パスワードをやめ、多要素認証を利用する

Microsoft 365、Google Workspace、オンラインストレージ、勤怠管理、請求システムなど、施設でもクラウドサービスを利用する機会が増えています。

クラウドサービスでは、パソコンがウイルスに感染していなくても、パスワードを盗まれることで情報へ不正アクセスされる可能性があります。

パスワードで最低限守りたいこと

  • 複数人で同じIDとパスワードを使い回さない
  • 他のサービスと同じパスワードを使わない
  • 施設名や電話番号など推測しやすい文字列にしない
  • パスワードをメール本文で送らない
  • パソコンや机に付箋で貼らない
  • 退職者が知っているパスワードを放置しない

多要素認証を利用する

多要素認証は、パスワードに加えて、スマートフォンの認証アプリや確認コードなどで本人確認を行う仕組みです。

パスワードが盗まれた場合でも、第三者によるログインを防げる可能性が高くなります。

特に、次のアカウントでは多要素認証を優先的に有効にしましょう。

  • Microsoft 365の管理者
  • Google Workspaceの管理者
  • 施設の代表メール
  • オンラインストレージ
  • 給与・会計・勤怠システム
  • Webサイトの管理画面

6.USBメモリーの利用ルールを決める

児童館や福祉施設では、写真、行事資料、名簿、報告書などを移動するためにUSBメモリーが使われることがあります。

USBメモリーは便利ですが、紛失、盗難、誤使用、ウイルス感染などのリスクがあります。

特に危険なのが、職員の私物USBメモリーを自由に使わせる運用です。

最低限決めたいUSBルール

  • 私物USBメモリーは原則使用しない
  • 施設が支給したUSBだけを使用する
  • 誰に貸し出したかを記録する
  • 個人情報を保存したまま持ち歩かない
  • 可能であれば暗号化USBを使用する
  • 紛失した場合はすぐに報告する
  • 廃棄・再利用時はデータを確実に消去する
  • 外部から受け取ったUSBをすぐに開かない

データの受け渡しをクラウドストレージへ変更できる場合は、USBメモリー自体を減らすことも検討しましょう。

ただし、個人用の無料クラウドサービスへ勝手にアップロードする運用は避ける必要があります。

7.個人情報や写真の保存場所を決める

児童館や福祉施設では、個人情報がさまざまな場所へ分散しやすくなります。

例えば、次のような状態です。

  • パソコンのデスクトップに利用者名簿がある
  • 職員個人のUSBメモリーに行事写真がある
  • 個人のスマートフォンで子どもを撮影している
  • 無料の個人用クラウドへ写真を保存している
  • メールの添付ファイルとして個人情報が残っている
  • 退職者のパソコンに過去の資料が残っている

個人情報や写真は、施設が指定した保存場所へ集約しましょう。

保存場所のルール例

  • 利用者名簿は指定された共有フォルダーだけに保存する
  • デスクトップやダウンロードフォルダーへ放置しない
  • 職員の私物スマートフォンへ保存しない
  • 施設が許可していないクラウドサービスを使わない
  • 閲覧できる職員を業務上必要な範囲に限定する
  • 不要になった写真や個人情報は削除する
  • 外部へ送信する際は送信先を再確認する

写真や動画は特に注意する

写真や動画には、顔だけでなく、名札、制服、施設名、位置情報、掲示物などが写り込むことがあります。

SNSや施設のWebサイトへ掲載する場合は、施設のルールと保護者・本人への説明、同意の範囲を確認しましょう。

「施設内での記録用に撮影すること」と「WebサイトやSNSへ公開すること」は、同じ利用目的とは限りません。

注意

職員個人のスマートフォンで撮影し、個人のLINEやクラウドサービスで共有する運用は、情報の所在を管理できなくなるため避けましょう。

8.バックアップを複数用意する

セキュリティ対策というと、ウイルスを防ぐことに目が向きがちですが、データを復旧できることも重要です。

データが失われる原因は、ウイルス感染だけではありません。

  • ランサムウェアによる暗号化
  • 職員による誤削除
  • パソコンやNASの故障
  • 落雷や停電
  • 水害・火災・地震
  • 盗難や紛失
  • クラウド上での誤操作

重要なデータは、最低でも元データとは別の場所へバックアップしましょう。

バックアップで確認したいこと

  • 何をバックアップしているか
  • どこへ保存しているか
  • どのくらいの頻度で保存しているか
  • 何世代分を残しているか
  • バックアップが正常に完了しているか
  • 実際にデータを戻せるか
  • 誰が確認するか

外付けハードディスクを常時パソコンへ接続したままにすると、ランサムウェア感染時にバックアップまで暗号化される可能性があります。

可能であれば、次のように複数の方式を組み合わせます。

  • 施設内のNASやサーバーへのバックアップ
  • クラウドへのバックアップ
  • 通常時は切り離した外付けストレージ
  • 別拠点へのバックアップ

バックアップで最も大切なこと

バックアップを取ったつもりではなく、実際にファイルを復元できるか定期的に確認することです。

9.退職・異動した職員のアカウントを停止する

福祉施設では、正規職員だけでなく、パート、アルバイト、派遣職員、委託先、実習生、ボランティアなど、さまざまな人が業務に関わることがあります。

退職や契約終了後もアカウントが残っていると、施設外からメールやクラウドへアクセスされる可能性があります。

退職・異動時に確認したいこと

  • Windowsアカウントの停止
  • Microsoft 365・Googleアカウントの停止
  • 業務システムのアカウント削除
  • 共有フォルダーへのアクセス権削除
  • メール転送設定の確認
  • 貸与パソコン・スマートフォンの回収
  • USBメモリーや鍵の回収
  • 共有パスワードの変更
  • 施設のSNSやWebサイト管理権限の削除

人事担当者だけで手続きを完結させず、パソコンやシステムの管理者へ退職・異動情報が伝わる仕組みを作りましょう。

退職日当日に慌てて対応するのではなく、退職・異動時のチェックリストを作っておくと抜け漏れを防げます。

10.不審メールや感染時の連絡方法を決める

どれだけ対策をしても、不審なメールを完全になくすことはできません。

重要なのは、職員が不審なメールを受け取ったり、誤って添付ファイルを開いたりした際に、すぐ報告できることです。

報告した職員を強く責める雰囲気があると、事故が隠され、被害が拡大する可能性があります。

職員へ伝えておきたい報告対象

  • 怪しいメールの添付ファイルを開いた
  • メール内のリンクを押した
  • 偽サイトにパスワードを入力した
  • ウイルス検出の警告が出た
  • ファイル名や拡張子が突然変わった
  • 身に覚えのないログイン通知が来た
  • パソコンが急に重くなった
  • 見慣れないソフトウェアが起動した
  • USBメモリーやパソコンを紛失した
  • 個人情報を間違った相手へ送った

事前に決めておくこと

  • 最初に誰へ連絡するか
  • 夜間や休日はどこへ連絡するか
  • 保守会社や販売店の連絡先
  • パソコンをネットワークから切り離す方法
  • パスワード変更の判断者
  • 施設長や法人本部への報告方法
  • 個人情報漏えい時の対応責任者

緊急連絡先をパソコンの中だけに保存していると、パソコンが使えなくなった際に確認できません。

紙の連絡網や、別の端末から確認できる場所にも保管しておきましょう。

職員が不審なメールを開いた場合の初動対応

不審な添付ファイルを開いたり、偽サイトへパスワードを入力したりした場合は、何も起きていないように見えても報告が必要です。

基本的な初動

  1. 作業を止める
  2. LANケーブルを抜く、またはWi-Fiを切る
  3. 管理者や保守会社へ連絡する
  4. 表示されている画面や時刻を記録する
  5. 自己判断でファイルや履歴を削除しない
  6. 別の安全な端末からパスワード変更を行う
  7. 他の端末やアカウントへの影響を確認する

ただし、すべてのケースで直ちに電源を切ることが最善とは限りません。

電源を切ることで調査に必要な情報が失われる場合もあるため、可能であれば管理者や保守会社の指示に従いましょう。

Microsoft Defenderだけで運用してもよいのか

パソコンが1台から数台程度で、Windows Update、バックアップ、アカウント管理などを適切に行えるのであれば、Windows標準のMicrosoft Defenderで運用することも可能です。

ただし、Microsoft Defenderが入っているだけで、施設全体のセキュリティ管理が完了するわけではありません。

次のような部分は、別途運用を決める必要があります。

  • 警告を誰が確認するか
  • Windows Updateが止まっていないか
  • 利用者がDefenderを無効にしていないか
  • どの端末でウイルスが検知されたか
  • 感染時に誰が対応するか
  • 施設外へ持ち出した端末をどう管理するか

台数が増えたら一元管理を検討する

複数施設や5台、10台以上のパソコンを管理する場合、各端末を個別に確認する運用には限界があります。

その場合は、次のような一元管理の仕組みを検討します。

  • Microsoft Defender for Business
  • Microsoft Intune
  • 法人向けウイルスバスター
  • Apex Oneなどの法人向け製品
  • マネージドEDR
  • 販売店や保守会社による運用支援

重要なのは、製品名ではなく、すべての端末の状態を誰が確認し、異常時に誰が対応するかです。

EDRは児童館や小規模施設にも必要なのか

EDRは、パソコン上の不審な動きを検知し、調査や対応を行うための仕組みです。

従来のウイルス対策が侵入を防ぐことを中心としているのに対し、EDRは侵入を完全に防げないことも想定し、侵入後の不審な動作を発見します。

例えば、次のような動作です。

  • Wordから不審なプログラムが起動した
  • 大量のファイルが短時間で暗号化された
  • パスワードを盗む動作が検知された
  • 他のパソコンへ不審な通信が行われた
  • セキュリティ機能を停止しようとした

ただし、パソコンが1台から3台程度の小規模な施設では、高価なEDRを最初に導入するより、基本的な対策を確実に行う方が優先される場合があります。

EDRを検討したいケース

  • 複数の施設を運営している
  • パソコンの台数が多い
  • 利用者の健康・障害・支援情報を大量に扱う
  • 外部から施設のシステムへ接続する
  • 職員がノートパソコンを持ち出す
  • ウイルス感染時の事業停止リスクが高い
  • 取引先や自治体からセキュリティ対策を求められている

また、EDRを導入しても、警告を見る担当者がいなければ十分に活用できません。

社内や施設内で対応できない場合は、専門業者が監視・調査を支援するマネージドEDRを検討します。

小規模施設向けの現実的なセキュリティ構成

パソコン1台から3台程度

  • Windows標準のMicrosoft Defender
  • Windows Updateの自動適用
  • 職員ごとのアカウント
  • 多要素認証
  • 施設指定の保存場所
  • 定期バックアップ
  • 私物USBの禁止
  • 異常時の連絡先

パソコン5台から20台程度

  • 法人向けウイルス対策またはDefender for Business
  • 端末の一元管理
  • 職員ごとのクラウドアカウント
  • 多要素認証の必須化
  • BitLockerによる暗号化
  • 共有フォルダーのアクセス権管理
  • クラウドと別媒体へのバックアップ
  • 退職者・異動者チェックリスト
  • 保守会社を含めたインシデント対応体制

複数施設を運営している場合

  • 施設ごとに設定を任せず、法人側で統一する
  • 管理画面から全端末の状態を確認する
  • EDRやマネージドEDRを検討する
  • 情報資産とアカウントの台帳を作る
  • 委託先や保守会社の管理範囲を明確にする
  • 年1回以上、ルールと権限を見直す

すぐに使えるセキュリティチェックリスト

確認項目確認内容チェック
Windows Update更新と再起動を定期的に行っている
ウイルス対策Microsoft Defenderなどが有効になっている
アカウント職員ごとに個別のアカウントを使用している
管理者権限日常業務では標準ユーザーを使用している
多要素認証メールやクラウドで多要素認証を使っている
USB私物USBを禁止し、施設支給品を管理している
保存場所個人情報や写真の保存場所を決めている
バックアップ定期的にバックアップし、復元を確認している
退職・異動アカウント停止や貸与品回収の手順がある
緊急連絡不審メールや紛失時の連絡先が決まっている

まとめ

児童館や福祉施設では、子ども、利用者、保護者、家族、職員など、多くの人に関する重要な情報を扱います。

しかし、専任の情報システム担当者がいない施設では、高度なセキュリティ対策を一度に導入することは簡単ではありません。

まずは、次の10項目から確認しましょう。

  1. Windows Updateを止めない
  2. Microsoft Defenderなどのウイルス対策を有効にする
  3. 職員ごとにアカウントを分ける
  4. 普段使う職員に管理者権限を与えない
  5. 共有パスワードをやめ、多要素認証を利用する
  6. USBメモリーの利用ルールを決める
  7. 個人情報や写真の保存場所を決める
  8. バックアップを複数用意する
  9. 退職・異動した職員のアカウントを停止する
  10. 不審メールや感染時の連絡方法を決める

セキュリティ対策は、ウイルス対策ソフトを購入して終わりではありません。

どれだけ高機能な製品を導入しても、共有パスワードを全員で使い、個人情報をデスクトップに放置し、バックアップを確認せず、退職者のアカウントが残っていれば、事故は防げません。

最終的な結論

児童館や福祉施設では、高価なセキュリティ製品より先に、基本的なルールと管理責任者を決めることが重要です。

そのうえで、パソコンや施設の数が増えてきたら、Defender for Business、法人向けウイルス対策、EDR、マネージドサービスなどを追加します。

一度に完璧を目指すのではなく、まず10項目を一つずつ確認し、できていない部分から改善していきましょう。

よくある質問

児童館のパソコンはMicrosoft Defenderだけでも大丈夫ですか?

パソコンが少数で、Windows Update、バックアップ、アカウント管理、USB管理などを適切に行える場合は、標準のMicrosoft Defenderで運用する方法もあります。ただし、端末が増えた場合は一元管理できる法人向け製品を検討しましょう。

職員全員で同じパスワードを使ってはいけませんか?

誰が利用したのか確認できず、退職者もアクセスできる状態になりやすいため、できる限り職員ごとのアカウントを発行してください。代表メールなどを複数人で確認する場合も、共有メールボックスなど、個人アカウントでアクセスできる仕組みが望ましいです。

子どもの写真を職員のスマートフォンで撮影してもよいですか?

施設が許可・管理していない私物スマートフォンでの撮影は、保存先や削除状況を確認できないため避けた方が安全です。施設支給端末を使い、保存場所、利用目的、削除時期、公開範囲を決めましょう。

USBメモリーを全面禁止する必要がありますか?

業務上必要な場合は、全面禁止でなくても構いません。ただし、私物USBは禁止し、施設支給品に限定する、貸出台帳を作る、暗号化する、紛失時の報告手順を決めるなどの対策が必要です。

バックアップは外付けハードディスクだけで十分ですか?

外付けハードディスクを常時接続していると、ランサムウェア感染時に一緒に暗号化される可能性があります。クラウド、別拠点、通常時は切り離したストレージなど、異なる場所や方式を組み合わせることが望ましいです。

小規模施設でもEDRは必要ですか?

必ずしも最初から必要とは限りません。パソコンが数台程度であれば、Windows Update、Defender、バックアップ、アカウント管理、職員教育を優先します。複数施設を運営している場合や、重要情報を大量に扱う場合はEDRを検討しましょう。

パソコンに詳しい職員がいない場合はどうすればよいですか?

製品だけを購入するのではなく、初期設定、定期点検、アラート確認、事故対応を支援できる販売店や保守会社と契約する方法があります。契約時には、ウイルスを検知した後にどこまで対応してもらえるかを確認しましょう。

参考資料

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です