医療データ暗号化の処方箋

1月 11, 2021 セキュリティとコンプライアンス, MOVEit

医療機関は、長い間、情報技術の活用に関してかなり消極的でしたが、時代の趨勢で、最近では多くの情報化技術を導入するようになりました。 Epic Systems などのツールセットが広く採用され、必要な時に必要な場所で電子健康記録(electronic health records、EHR)が利用できるようになって、もう読みづらい手書きのメモや特異なファイリングシステムに悩まされることはなくなりました。

これは歓迎すべき変化ですが、医療用電子化情報は、医療データ暗号化の必要性という新しい課題を生み出します。古いスタイルの手書きメモは、医師や看護師が最も必要としているときに、どこかに置き忘れて見つからなかったり、悪筆のために判読できなかったりという可能性はあるものの、少なくともハッキングすることはできませんでした。これに対し、EHR はハッキングされる可能性があります。つまり、物理的に診療所や病院の記録保管室に入り込まなくても、厳重に保護しなければならない個人の健康記録にアクセスされてしまうリスクがあります。

電子健康記録の価値 - クレジットカードの100倍?

残念ながら、ハッキングされる可能性のあるものはハッキングされるという原則があります。金銭的価値が高ければそれだけハッキングの対象にされやすくなります。そして、個人健康情報(personal health information、PHI)は、ハッカーにとっては金鉱です。クリティカルインフラストラクチャテクノロジー研究所(Institute for Critical Infrastructure Technology、ICIT)の James Scott 氏は、PBS NewsHour で、電子健康記録について、「盗まれたクレジットカードの100倍の価値がある。」と話しています。個人の健康データは、 藁をもすがる思いの重い疾病の患者にいかさまの「奇跡の治療法」を売りつけることから、金銭を脅し取ろうとする恐喝まで、多岐にわたって悪用される可能性があります。

さらに、セキュリティの専門家である Avi Rubin 氏は、サイバーセキュリティに関しては医療産業が「絶対に最悪」であると述べています。医師や看護師などの医療に携わる人たちは、命を救うために何をすべきかが常に最優先の課題であり、機密情報を保護するようには訓練されていません。また、医療機関でのデータの取り扱いがシステムとして確立されておらずデータが断片的に散在していたり、医師や看護師の主たる作業場所はデスクではなく診察室や手術室、病室などであるという事情があり、セキュリティ保護のための実用的な手続きを策定することは簡単ではありません。

こういった事情があり、広く使用されている医療データシステムに対する大規模なハッキングが報告されています。たとえば、米国公民権局が公表しているデータ侵害のレポートによると、医療データの侵害は毎日のように起きており、10万人以上に影響を与えるデータ侵害も毎月複数件発生しています。また、2016年6月、 PCWorld は、健康保険会社から930万件のレコードを盗んだと主張するハッカーが、そのレコードをダークウェブで約82万ドルで売りに出したと報告しました。

データセキュリティの課題

機密データの保護は決して簡単ではありません。ある調査によると、セキュリティ専門家の4分の3近くが、組織がドキュメントセキュリティとファイル転送セキュリティを処理する能力について、「強化が必要」、または「不十分」と評価しています。この調査は医療業界に特化したものではありませんが、価値が高く、データ侵害のターゲットになりやすい医療データへのセキュリティに「強化が必要」なことは明らかです。

患者のデータをしっかり保護するべき医療機関が、セキュリティ強化のためにできることは何でしょうか?

データ保護には暗号化が最適

機密情報を含むドキュメントをハッキングから保護するには、基本的に2つの方法があります。1つは、それにつながるすべてのエンドポイントを保護して、ハッカーがデータにアクセスできないようにすることです。もう1つは、データを暗号化して、ハッカーがドキュメントにアクセスしても読み取れないようにすることです。

これらのデータ保護アプローチは両方とも有用であり、できる限り使用する必要がありますが、医療従事者の運用環境を考えた場合、すべてのエンドポイントをきっちり保護することは至難の業であり、現実的な最適策は医療データを暗号化することに絞られてきます。

保存中のデータ(ストレージユニット内)と移動中のデータ(ファイル転送中)の両方に対するエンドツーエンド暗号化は、ドキュメントのライフサイクル全体で利用可能な最も完全な保護を提供します。また、暗号化プロセスは自動化できるという強みがあり、セキュリティ意識が高いとは言えないユーザーでも、確実に実施できます。

個人の健康情報は、医師や看護師などの医療に携わる人たちと、患者本人だけがアクセスできるべき、機密性の高いデータです。万一ハッカーにアクセスされてしまったとしても、移動中だけでなく保存中のデータを、エンドツーエンドで暗号化しておくことが強力で信頼性の高い方法だと言えます。

プログレスの MOVEit Transfer は、移動中・保管中のデータをエンドツーエンドで暗号化するセキュアなファイル転送・共有ソフトウェアです。

Rick Robinson