Ponemon保険が発表したリポートによると、2016年だけで、106件の重大な情報流出事件が発生したとのことです。流出した患者のデータの総数は、1350万件以上とのこと。医療業界における平均的な流出被害額は、一件あたり402ドル(約44,000円)になり、他の業界平均150ドル(約16,500円)を大きく上回ります。これは、アメリカ単体でも、医療機関へのハッキングによって、総被害額28億ドル(約3,080億円)に上ることを意味しています。かなりの被害額と言わざるをえません。

重要な外科手術や患者の生命がコンピュータを使ってモニタリングされていることを想像してみてください。今日病院では当たり前の光景です。同時に、別のスクリーンでは、患者に対して、検査結果を医者が説明し、または、外科手術においては医薬品をどれだけ投与するかを表示しています。ここで急にスクリーンが真っ暗になり、「このマシンはロックされています。解除するには$$$ビ

ットコインが必要です」、というメッセージが表示されたとしましょう。コンピュータは完全にロック状態で、まったく反応しない。患者は放置され、医師は患者の生命がどうなっていくかもわからず、ただこの外科手術を続けていいものかどうかの情報も持ち合わせず、おろおろするばかり。こんな光景を想像できますか?これはかなり恐ろしい一例ではありますが、情報流出、ハッキングから医療機関が守られる必要があることを示しています。

患者は医療機関と治療データなどを共有しているといえます。医療機関は、膨大な数の患者のセンシティブなデータをデジタル化して保管しています。このデータは、患者の(習慣、検査結果、診断書、症状、処置方法など)健康指標に関わる情報だけでなく、(支払い額、クレジットカード番号、加入している生命保険など)金銭的な情報、個人情報も含んでいます。また企業ならば、従業員の全情報、利用している医療機関をデジタルデータとして保持しています。これらの情報は得難いものといえます。従って、医師からのレポートや様々なデータは、医療機関を狙ったハッカーの恰好のターゲットといえます。これらすべてのデータは、故意、過失を問わず、紛失から守られなければならないものです。

多くの国々で、医療機関に対して、患者データを保護する法規が整っています。例えば、アメリカでは、HIPPA(医療保険の携行性と責任に関する法)が、電子書式での、生成/保存/移動/受取されるすべての患者データを保護対象としています。

脅威の種類

他の業界と同様に、医療業界も3つの主要な脅威に直面しています。しかしながら、生死にかかわるデータの特性上、脅威の度合いは他の業界に比べて非常にシビアであると言わざるをえません。

  1. 内部からの脅威:これは、実はもっともよく起こりうる、データ流出の原因です。従業員または元従業員が過失または、故意に、患者個人の情報を外部に流出させるというものです。
  2. 第三者によるハッキング:これは、データを盗みだすソフトウェアの欠陥を通じてバックドアを設けるハッキング手法です。このハッキングは、一般的に競合企業が喜ぶ機密情報や、闇市場で取引される情報を盗み出すことを目的にしています。
  3. マルウェア/ランサムウェア:一般的に、これらは、コンピュータウィルスに分類されるものです。これらは、企業の管理下に置かれているデータを破壊し、データを使わせないようにすることを目的としています。これは、緊急処置の中断を余儀なくさせ、生命を脅かす状況を作り出すことにつながります。

このデータ流出はどのようにして発生するのか?

多くの場合、データ流出は、ヒューマンエラーや、企業内のデータの取り扱いに関わる、セキュリティポリシーの不正確な理解が引き起こします。しかしながら、多くの場合、データ流出は、データを抜き取ろうとする悪意ある行為によって、引き起こされます。理由がなんであれ、データ流出はメ

ール、リムーバルドライブ、SNS、インスタントメッセンジャ、ファイル共有などのごくごく一般的な、よく使うコミュニケーションツールを使って起こります。つまりこれらのツールは、特に厳しく監視、運用されなければならいものといえます。

ヘルスケア業界は、多くの医師やサービスプロバイダがデータ流出しやすい、ウェブメールを使っているように、様々な理由によって、これらの経路から常に脅威にさらされているといえます。かれらの利用しているファイル(MRIスキャンデータや患者の医療履歴など)サイズは大きいので、かれらは、データのやり取りに、インスタントメッセンジャ、FTP、その他のP2Pソフトウェアを利用しがちです。彼らは時に、サイバー攻撃のホストとなりうる別のコンピュータに接続できる、外部ポータブルデバイスにデータを保管したりします。また、一見安全なソーシャルメディアサイトは、コンピュータからデータを盗み出す、トロイの木馬型スパイウェアを含むアプリケーションが紛れ込んでいる可能性もあります。もう一度コミュニケーションツールを見直してみることをお勧めします。

医療業界におけるデータとシステムの安全性をどう確保するか?

医療機関は、データ流出だけでなく、侵入検知、そして生命にかかわる脅威を与えるような、デバイスのブロックを目的に、データ漏洩対策ソリューションの実装が必要です。以下に必要なセキュリティソリューションを列記します:

  • 様々なタイプのデバイスからのアクセスを設定する、デバイスコントロール。これは認められていないアクセスをブロックする、統合ソリューションのひとつとして、データ保護に役立ちます。
  • ウィルスやランサムウェア対策として、ネットワーク侵入防御とファイアウォール機能
  • データ流出の場合に備えて、情報セキュリティを確保するための、全てのデータの暗号化
  • WindowsやMacなどの様々なプラットフォームに対応したセキュリティ対策の拡大
  • ウェブアクセス、データアクセスコントロールや、許可されていないアプリケーションの的確なブロック
  • 脆弱性を検知するための、インストール済みアプリケーションへの疑似スキャン

病院、特定研究機関を問わず、医療機関すべてで、コンプライアンスの徹底だけではなく、治療などの重要かつ、生命にかかわるような患者のデータを保護するためにも、情報漏えい対策ソフトウェアを実装することが求められています。