メインコンテンツまでスキップ
画像
紫色の六角形のパターン

医療におけるデータセキュリティの重要性

2021年、医療分野における違反は過去最高となり、米国の医療記録の漏洩件数が過去3年間で3倍以上となるなど、増加傾向が続いています。 医療記録がよく狙われるのは、 医療記録には、ダークウェブ上の盗まれたクレジットカード情報の最大40倍を超える価値がある、というのがシンプルな理由です。 なぜなら、医療記録には通常、社会保障番号から医療保険制度の受給者情報、さらには生体認証に至るまで、あらゆるものが含まれており、さらに金融口座情報も含まれていることが多いからです。

しかし、より大きな視点では、ヘルスケアにおけるセキュリティ侵害の増加は、ヘルスケア産業のデジタル変換と直接結びついています。 今日、医療の提供はデータに全面的に依存しています。 接続されたデバイスは、バイタルデータなど患者の健康情報を収集し、治療に役立てます。 電子健康記録(EHR)はその情報を保存し、処置の承認から薬の処方まで、治療のワークフローを推進します。 最もシンプルなものから最も複雑で高度なものまで、あらゆる治療がデジタル技術を駆使して行われるようになりました。 デジタルインフラは、照明の点灯、複雑な空調システムの制御、物理的なアクセスとセキュリティの制御など、医療が提供される施設やスペースを支えるものです。 そして今、遠隔医療の急速な普及に伴い、さらなるデータセキュリティのニーズが高まっています。 プロバイダーは、サードパーティーのテクノロジーとウェブベースのプラットフォームを統合し、患者にとってはシームレスで便利な遠隔医療を、病院側にとっては効率的な遠隔医療を実現しようとしています。

このエコシステム全体を保護するためには、データセキュリティが重要です。 包括的なデータセキュリティプログラムは、3つの重要な成果をもたらします。

  1. 患者の信頼と忠誠
    今日の消費者としての患者は、「最良の」医療を求めており、データプライバシーにますます敏感になっています。 効果的なデータセキュリティプログラムは、データ侵害による評判の低下や、それに伴う患者数の減少を防ぎます。
  2. 品質と患者の安全を重視する
    患者の健康情報への継続的なアクセス、重要な技術やシステムの機能を確保することは、医療従事者の最も基本的な目標の基礎となります:それは質の高い医療を提供し、患者の安全リスクを軽減することです。
  3. 違反に伴うコストを回避
    ヘルスケアはすでにデータプライバシー規制の最先端にあり、継続的に強化される要件は、小さな違反でも多額の罰金につながる可能性があることを意味します。 しかし、セキュリティ侵害の全コストを考えれば、罰金は氷山の一角に過ぎません。 例えば、中規模の病院では、典型的なサイバー攻撃によって平均10時間停止することが予想され、1時間当たり45,700ドルのコストがかかるとされています。

医療におけるデータセキュリティの主な課題は何ですか?

包括的な課題は、前述の通り、医療のあらゆる側面で指数関数的なデジタル化が進んでいることです。 このデジタルトランスフォーメーションは、患者にも医療機関にも多大な利益をもたらしており、今後数年間、強力な新しい可能性と潜在力を引き出し続けることは間違いないでしょう。 しかし、セキュリティ上のリスクも著しく高まっています。最も単純な理由は、より広範で複雑なデジタルエコシステムが構築され、悪意ある行為者がアクセスしたり、データが漏えいしたり暴露されたりする可能性のあるポイントが非常に多くなっているためです。 2022年春のレポートでは、医療におけるデータセキュリティの問題点として、5つの主要な原因を挙げています:

  1. IoTでつながる「スマート」な医療デバイス: 病院や診療所における接続されたデバイスの数は、飛躍的に増え続けています。 米国の Health and Human Services(HHS)の報告によると、最も一般的に使用されている接続された医療デバイスの半数以上がサイバー攻撃に対して脆弱であるとのことです。
  2. 遠隔医療利用の急増: パンデミックによる遠隔医療やモバイルヘルスケアへのシフトは、今後も進み続けます。 患者が従来のデータセキュリティの「境界」の外で医療にアクセスすることは、多くのセキュリティリスクと課題をもたらします。
  3. Cures Act: 2016年のCures Actは、医療におけるシステムおよびデバイスの相互運用性に対する障害を軽減することを目的としています。 これは、技術革新を直接的に支え、加速させるものですが、同時に、送信中にデータが漏えいしたり、盗まれたりする可能性がある点が考慮されています。
  4. IT部門のリソース不足: 人手不足と予算不足は病院内のあらゆる部門を直撃しており、その結果、セキュリティパッチが適用されなかったり、技術スタックの更新や強化がされず、最新の要求やリスクに対応できなかったり、といったことが起こり得ます。 さらに、HHSの報告によると、一般的な病院は、技術やスタッフの観点から、サイバー攻撃者に「圧倒されている」そうです。
  5. 職員のセキュリティ教育の不足: フィッシングのリンクをクリックしたり、認証情報を紛失したり共有したり、未登録の訪問者を施設に入れたりするなど、人的要因は依然として最大のセキュリティリスクであると言えます。

実際、医療機関のセキュリティ侵害の4件に3件は、この5つの中核的な問題のいずれかに起因していると推定されています。

画像
医療におけるセキュリティ侵害を防止する

医療機関の情報漏えいを防ぐための5つの戦略

患者情報の保護に注力することから始める

最も基本的なデータセキュリティ戦略は、現代の医療提供の原動力である患者データの保護に焦点を当てること、つまり適切なテクノロジーとプロセスを導入し、データセキュリティの文化を構築することです。 患者データの可用性と完全性を確保するために、病院や医療システムはいくつかの対策を講じる必要があります。

  • 送信中および保存されているすべての患者データを暗号化およびトークン化し、不正アクセスから保護します
  • 患者記録の電子署名を可能にすることで、患者データの安全な管理体制を維持し、不正や偽造のリスクを軽減します
  • 患者データを共有または移動する場合、個人を特定できる情報(PII)はすべてトークン化し、患者のプライバシーをさらに保護する必要があります

すべてのコンプライアンス要件に対応する

病院や医療機関においては、患者データのセキュリティの臨床的重要性に加え、HIPAAや経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH法)から、一般データ保護規則(GDPR)、カリフォルニア消費者プライバシー法(CCPA)、電子識別・認証・トラストサービス(eIDAS)など、ますます厳しくなる規制要件の下でのコンプライアンスの達成と維持が必要となっています。

多くの医療機関では、HIPAAへの準拠が最大の関心事となっています。 ここでは、HIPAAを遵守するためにデータセキュリティが重視される4つの分野を紹介します:

  • 強力な認証: HIPAAは、スペース、資産、データへの物理的およびデジタルアクセスを制限、制御、監視することを重要視しています。 許可されたユーザーに、迅速かつ容易にアイデンティティとアクセス権限を認証できる、高保証のクレデンシャルベースの認証を提供します。
  • デジタル証明書: 電子証明書は、デバイス、サーバー、ユーザーの身元を確認することで、強力な認証を補完します。 病院や医療システムにおいて、接続されたIoTデバイスを摩擦なく完全に統合したエコシステムを実現するには、堅牢なデジタル証明書プログラムがますます重要になります。
  • データ保護: HIPAAでは、保護されるべき健康情報(PHI)は、「合理的かつ適切な」正当な理由がない限り、暗号化されるべきと定めています。 さらに、データの暗号化(送信中と保存中の両方)を効果的に行うことで、万が一情報漏えいが発生した場合、企業は大きなペナルティを回避することができます。

重要なデジタルアーキテクチャのデータセキュリティ強化

デスクトップワークステーションやレガシーオンプレミステクノロジーのセキュリティに用いられてきたデータセキュリティの標準やベストプラクティスは、クラウドベースのアプリケーション、モバイル接続、境界のないテクノロジースタックの時代に、単純に追いつくことができていません。 病院や医療システムは、必要な即時かつ摩擦のないアクセスを可能にすると同時に、サイバー攻撃、詐欺、侵害などの増大するリスクを阻止することができる、将来性のあるセキュリティスタックを構築する必要があるのです。 ここでは、注目すべき3つの分野を紹介します。

  • EHRシステムを保護するための措置を講じるIoTデバイス用のデジタル証明書パスワードレスのログイン高保証力のクレデンシャルベース認証、および連邦情報処理規格(FIPS)認証のハードウェアセキュリティモジュール(HSM)は、組織がEHRシステムのデジタル整合性を維持し、医療におけるセキュリティ侵害を防止するのに役立ちます。
  • 安全なIoTデバイス: エンタープライズグレードの暗号化およびデジタル署名は、基盤となる暗号鍵を保護する信頼のルートとともに、安全な環境を確保するためのベストプラクティスとして常に使用されるべきです。
  • ハードウェアとファームウェアの保護: 高保証デジタルインフラストラクチャでは、鍵、証明書、およびエンドツーエンド暗号化を使用して、スマートな接続されたIoTデバイスを強化するファームウェアの信頼性と完全性を保証する必要があります。

スマートなデータセキュリティ技術で、近代的で生産性の高いワークフォースを実現する

「ニューノーマル」は、医療従事者の働き方を再構築しました。 医療従事者は、テレヘルスやモバイルヘルスサービスを通じて、患者とバーチャルに交流します。 臨床スタッフと事務スタッフは、リモートワークやハイブリッドワークのモデルを採用しています。 このような新しい働き方を可能にすることは、治療の提供方法を拡大し、強化するために不可欠です。 また、経済的な成果を守り、容赦ない労働圧力に直面するスタッフを引きつけ、定着させるためにも重要です。

  • 次世代技術の統合: 生産性とコラボレーション技術の世界では、革新のスピードが加速し続けています。 これらは、臨床医や職員が新しく、スマートで、より良い方法で働くことを可能にするツールやテクノロジーです。 病院や医療システムが新しいテクノロジーを迅速に統合できるかどうかは、新しいアプリケーション、新しい統合、新しいワークフローに対して、必要な認証、暗号化、その他のデータセキュリティ対策を施すことができる、俊敏で将来に備えたセキュリティ技術スタックを備えているかどうかにかかっています。
  • 摩擦のないアクセスを可能にする: 革新的な新技術の価値は、それらに素早くアクセスし、治療を提供し、重要なワークフローを実行するためにそれらの間を行き来できるかどうかによって制限されます。 生産性の向上、治療の質の向上、患者や職員の満足度向上など、デジタルトランスフォーメーションの可能性を最大限に引き出すには、このような摩擦のないアクセスを可能にすることが重要です。
  • 物理的なセキュリティで職員の柔軟性をサポートする: ハイブリッド型ワークモデルの影響として最も見過ごされているのが、物理的なセキュリティや入退室管理プログラムの変更が必要になることが多いという点です。 病院や医療機関では、承認された職員による通常のシフト外での施設へのアクセス、患者や訪問者の非接触型チェックインの促進、職員やボランティアの入職、退職など、患者データのプライバシーとセキュリティにリスクをもたらす可能性のある物理セキュリティプログラムのギャップや問題点を再評価する必要があります。

遠隔医療提供とデジタルトランザクションの促進および保護

テレヘルス、モバイルケア、その他のバーチャルおよびリモート治療提供オプションに対する患者の需要は、今後も続くと思われます。 医療機関も、このような新しい医療提供形態がもたらす多くのメリットを認識しています。 しかし、患者が期待する便利でパーソナライズされたプライベートな体験を提供し、効率化を図りながら十分なサービスを受けていない人々へのアクセスの拡大を実現することは、データセキュリティという全く新しい課題をもたらします。

  • リモート患者の受け入れと認証: 遠隔医療における最も単純なデータセキュリティの課題は、物理的にその場にいない患者の身元を認証することです。 医療機関は、安全にセルフサービスで患者の本人確認を可能にする技術を導入する必要があります。 また、完全にバーチャルな医療シナリオで新患を受け入れるための新しいワークフローを構築する必要があります。
  • クラウドベースの治療提供におけるPHIの保護: ウェブやクラウドベースのアプリケーションを通じて患者とつながり、治療を提供するということは、信じられないほどの量のPHIが、従来のネットワーク境界の安全性とセキュリティの外側を行き来することを意味します。 包括的なデータ保護戦略には、患者データのシームレスな交換を促進し、漏えいや盗難から保護するために、高度なエンドツーエンドの暗号化、堅牢な証明書、公開鍵基盤(PKI)を含める必要があります。
  • 境界を越えるウェアラブルとデバイスのセキュリティ: 従来の訪問医療を超えて遠隔医療が推進される最大の要因は、医療従事者が患者の健康情報をリアルタイムで監視し対応できるようにする、接続された医療デバイスの進歩です。 CPAP、透析器、ペースメーカーなどの「スマート」ヘルスケア機器から、急速に進化しているスマートウォッチや持続的血糖値モニターなどのウェアラブルに至るまで、様々なものがあります。 医療機関は、これらの接続されたデバイスから内部システムへのPHIの送信を保護するだけでなく、接続されたデバイス自体のハードウェアとファームウェアを保護する強力なデータセキュリティ技術を導入する必要があります。
  • デジタル化されたトランザクションと支払いを保護する: 洗練されたデジタル署名技術は、遠隔医療提供におけるフロントエンドとバックエンドの双方で重要な役割を担っています。 医療機関は、検査依頼書や処方箋などの医療従事者の注文を迅速かつ確実に認証するための安全でシームレスな方法を必要としています。 バックエンドでは、保険金請求の真偽を確認し、患者が安全に支払いを行えるような技術的なインフラを提供する必要があります。