> > 医療機関が情報漏えいを防ぐために行うべき 2 つのこと

RSSフィード

医療機関が情報漏えいを防ぐために行うべき 2 つのこと

増える健康医療分野のサイバー被害 ~ 課題は患者情報を保護するセキュリティの強化

127820861.jpgポネモンインスティテュート(Ponemon Institute)が実施した「Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data」(第 6 回・医療情報のプライバシーおよびセキュリティに関する年次調査)によると、調査対象の医療機関は大半が複数回のデータ漏えい事件を経験しているという、驚くべき事実が明らかになりました。また、被害を受けた組織は問題に対処する予算等のリソースが不足している様子も浮き彫りになり、セキュリティ専門家の多くが予測し、恐れていたとおりの結果となっています。同調査では次の統計も紹介されています。

• データ漏えいによる医療分野全体の被害額は推定で約 6740 億円(62億ドル)
• 回答した組織の 90 % 近くが過去 2 年の間に漏えい事件を経験
• 同 45 % が 2 年の間に 5 回以上の漏えい事件に遭遇

ポネモンインスティテュートによる調査の対象は、米国の健康医療機関(例:ThinkAnthem、BlueCross BlueShieldなど)と、「ビジネスアソシエート」と呼ばれる、対象機関に対してサービスを提供する団体や個人のうち、健康医療上の秘密情報を扱う関係者です。同調査では、医療機関と業務関係者の双方を対象とすることによって、健康医療分野全体のセキュリティ事情を総合的に把握しています。
調査の主要項目の多くからは、検出や予防の技術がこの数年で進化しているのが伺えます。それにもかかわらず漏えい事件に遭う組織は増え続けており、明らかに対策が不十分なことを示しています。

健康医療分野のサイバーセキュリティ対策が後れている理由

健康医療分野のデータ漏えいを減らすにはどうすればよいのでしょうか。
健康医療分野は漏えい予防対策の面で後れをとっています。関係組織は、セキュリティ方針や対策、戦略といった事柄に対して自身がどの程度真剣に取り組んでいるのかを厳しくチェックする必要があります。こちらのトレンドマイクロのブログ記事では、健康医療分野のサイバーセキュリティ対策が後れている理由として、コストの問題と、日常業務で他の要素に専念しなければならないという事情を挙げています。

他方、サイバー犯罪者は犯行手口をどんどん巧妙化させているため、健康医療分野の組織にとっては、いっそうのセキュリティ強化を行えるだけの余力を残しておくことが、これまで以上に重要になっています。不正侵入の予防策にもっと予算や労力をつぎ込む上で障壁となっているのは何なのか、組織および関係者は各自でその理由を徹底的に洗い出す必要があります。

健康医療機関はセキュリティ専門家に投資せよ

不正侵入を防ぐために行うべき投資の一つは、セキュリティ専門家の増員です。技術要員の数を増やして従業員の教育や予防プログラムを実施し、ネットワークを監視すれば、組織は不正侵入を減らせます。

情報漏えいの発生を見つけ、問題を解決できる技術知識を有する従業員を抱えていると調査で答えた回答者は、医療機関で全体の 57 %、ビジネスアソシエートで 51 % でした。前年と比較すると、この値は医療機関でわずか 3 %の増加、ビジネスアソシエートでは増えていないという結果です。

セキュリティのベストプラクティスには、継続的で隙のない監視が欠かせません。これは、健康医療分野において必須の要件です。サイバーセキュリティの専門家は、この分野の教育やツール、修正戦略に精通した人物です。こういった人物を専任担当者として置くことが、健康医療機関にとっては極めて重要です。

セキュリティ予算の増額が不可欠

ポネモンインスティテュートの調査によれば、セキュリティ予算に動きはありませんでした。健康医療機関については回答者の 52 % が予算に変化はないと答え、10 % が減ったと答えています。セキュリティの維持にはお金がかかりますが、各種の調べによれば、侵入が発生してから修正にあたるのでは、最初に侵入の予防を単に行うよりも必要なコストが多くなることが分かっています。

2014 Cost of Data Breach Study: Global Analysis」(情報漏えい調査:グローバル分析 2014 年版)によると、2014年に不正侵入の規模と被害が最も大きかったのはアメリカ企業でしたが、「強力なセキュリティ体制を敷き、インシデント対応プランを用意して、最高情報セキュリティ責任者(CISO:Chief Information Security Officer)を置いた場合には、従業員 1 人あたりの額で、それぞれ 1,495 円($ 14.14)、1,350 円($ 12.77)、697 円($ 6.59)コストが低くなった」とのことです。また、事業継続計画(BCP:Business Continuity Plan)の策定も、流出データ 1 件あたりで平均 949 円($ 8.98) のコスト低減効果がありました。

対策の後れを挽回するには

健康医療業界は、私たちの「保護対象保健情報(PHI:Protected Health Information)を守るため、セキュリティ基準における後れを取り戻し、他の業界に追いつく必要があります。実際、「追いつく」だけでは不十分かもしれません(この数年間を見ても、Target やソニーといった大手企業が大規模なデータ盗難事件の被害者となっています)。いずれにせよ、健康医療機関やビジネスアソシエートはもっとセキュリティ専門家を増員し、セキュリティ予算を増額して患者情報を適切に守らなければなりません。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Two Ways the Healthcare Industry Can Combat Breaches - [2016 年 5 月 20 日投稿]