医療機関に必要な安全なファイル転送

7月 07, 2022 セキュリティとコンプライアンス, MOVEit

医療機関にとって、安全なファイル転送は、あったら望ましいものという範疇ではなく、満たさなければならない絶対的な要件です。

機密データが入っているファイルを電子メールに添付したりローエンドのファイル共有ツールで送信したりすることは、脆弱で侵害されやすく、安全なファイル転送の要件を満たしません。少し前まではデファクトのように使われていた PPAP も、安全ではないとして推奨されなくなりました。そのような手法を取り続けてデータ侵害が発生したら重大な責任を問われかねません。

PPAP 問題を脱却し、本当に安全なファイル転送を行うには、適切に設定されたマネージド・ファイル・トランスファー (MFT) ソリューションを利用するのが最善です。

医療機関は、以下のような機密性が高いデータを安全に保護する必要があります。

  • 患者の通院記録
  • 医療カルテ
  • 医療画像などのビッグデータ
  • 請求および支払いデータ
  • 医療保険関連データ

シャドー IT の弊害

Dropbox などのファイル共有アプリは便利で使いやすいと重宝する人は多いようです。機密性の低いファイルを簡単に共有するには確かに優れたツールですが、企業が保有する機密データの共有には適していません。にもかかわらず、医療機関でも Dropbox を使用してデータを送信するケースはよく見受けられます。

これらの安全面の保証のないアプリは、IT 部門からは使用しないようにとの指示が出ているはずですが、それでも便利さゆえに、つい IT 部門の目をかいくぐって許可されていないアプリを使ってしまう、つまり、シャドー IT が発生します。

シャドー IT アプリとクラウドサービスを使用すると、データがセキュリティ保護のレベルがわからないシステムに保存されることになります。企業が使用することを念頭に置いて設計されたものではないアプリが使用され、パッチが適用されていなかったりして脆弱性があるソフトウェアが使われてデータ侵害につながる恐れがあります。IT 部門が認可したサービス以外のクラウドアプリケーションを誰かが使えば、機密性の高い企業データへの不正アクセスや、不注意によるデータ漏洩が増加します。

組織の ID および認証ソリューションに接続されていないシャドー IT サービスは、悪意あるインサイダーデータ窃盗をサポートする可能性があります。正式な ID および認証ソリューションに接続されたサービスなら、社員の退職時にはそのユーザー ID も取り消されてその後のアクセスはできなくなりますが、シャドー IT サービスの場合はそのような防止は不可能で、元社員が引き続きログインし、そのサービスを通じて保存・共有されているデータにアクセスすることができます。

サイトからサイトへのデータ転送

医療機関では、ある施設から別の施設にデータを転送する必要が生じる場合がありますが、そのようなときに最適なのはマネージドファイル転送 (MFT) ソリューションです。医療機関では、診断や治療方針のために、超音波ビデオ、MRI や CT スキャンなどの大容量医療ファイルを医療者間で共有する必要があったり、薬局や各種保険取り扱い機関などと重要な患者データを共有する必要があったりします。何か障害があれば最悪の場合は患者の健康や生命にかかわったり、データ漏洩で信用上、道義上、経済上の大きな問題に結びついたりします。医療機関は、迅速かつ安全にファイルを転送する必要があり、機密データの存在するファイルを転送中も保管中も暗号化で保護し、規制コンプライアンスにも対応できる MOVEit のようなマネージド・ファイル・トランスファーを使うことで、その要件を満たすことができます。

医療機関 IT 部門のチェック項目

プログレスでは、医療機関 IT 部門向けのホワイトペーパー、「医療機関 IT 部門が考慮すべきファイル転送の7つの課題」を用意していますが、このホワイトペーパーではまず、医療機関 IT 部門に現在の状況を確認するためのチェック項目を列挙しています。このチェック項目に回答することで、問題点があればそれが明確になると思いますので、試してみてください。

  1. システムで処理する機密度の高い患者ファイルの量が大幅に増加していますか?ファイルの複雑さは増していますか?
  2. わかりづらいスクリプトを使用しているために処理が複雑化している面はありますか?
  3. 「自動化された」バッチジョブであるタスクに、時間がかかりエラーが入り込みやすい、スクリプトによるファイル転送ジョブの作成と実行が含まれていますか?患者の健康情報のログ要件は満たしていますか?
  4. ファイルがいつ転送されたか、どこに転送されたか、意図した宛先に到着したかを簡単にチェックできますか?検索に何時間もかかることはありませんか?
  5. ファイル転送ジョブのスケジューリングに手間取るようなことはありませんか(例えば、パスワードが変更されたときにすべてのジョブを手動で再スケジュールするといったような)?
  6. エンドユーザーが、IT 部門の関与のないところで、機密データである請求記録、薬剤記録、患者情報を危険にさらす不正なファイル転送ソリューションを使用する可能性はありますか?
  7. 医療保険制度改革法(Affordable Care Act)などの法律で義務付けられている措置をスムーズに実施できていますか?

このホワイトペーパーでは、医療機関の IT 部門が念入りに検討するべき、ファイル転送に関する課題について説明しています。詳細は、ホワイトペーパーをお読みください。

安全なファイル転送

シャドー IT の根本的な問題は、IT 部門がファイル転送アクティビティを確認できない点ですが、安全なファイル転送を行うためには、どのデータが送信されたか、どこに送信されたか、確実に受信されたか、いつどのように配信されたか、といったファイル転送アクティビティを完全に可視化できる必要があります。シャドー IT が発生するのはそれが便利で使いやすいためであり、シャドー IT を排除していこうとすれば同じように便利で使いやすいツールを用意するのが合理的です。

コンプライアンス規制が求めるのは、ユーザーの個人データを安全に保護し、確実にコントロールすることですが、たとえ完全に遵守していたとしても、「はい、遵守しています。」と言うだけでは何の証明にもなりません。規制コンプライアンスを立証できるレポートを簡単に作成できるソリューションが必要になります。それができるのが、マネージドファイル転送 (MFT) ソリューションであり、優れた MFT を利用すればファイル転送アクティビティを完全に可視化することもできます。MOVEit は、ユーザーには簡単で使いやすく、IT 部門としては一元化されたシステムで全体のセキュリティを集中管理できる、理想的なソリューションです。

下は TechValidate の MOVEit 顧客調査の一部ですが、「調査に回答した医療機関のうち、55%が MOVEit 導入後、すぐにその効果を確認できた。」との結果が出ています。

以下では、マネージド・ファイル・トランスファー・ソリューション、MOVEit を導入した医療機関の事例を紹介します。

医療機関のマネージドファイル転送 MOVEit 導入事例1: ハティスバーグ・クリニック

ハティスバーグ・クリニックは、何千ものファイルを迅速かつ安全に転送する必要がありました。ところが、ファイルを安全、迅速、自動的に転送するために取ろうとした手段であるスクリプト作成は、決して簡単ではありませんでした。

「全プロセスにおいて徹底的に注意深さを心がけながら、スクリプトを作成してテストしようとするのは大変時間がかかる作業です。単なるコピーコマンドではありません。受信されたことを確認し、多くのフェイルセーフチェックなども実行する必要があります。」と、クリニックのサーバーシステム部長、Josh Hazel 氏は説明します。「非常に時間をとられました。新しいプロセスが追加され、新しいスクリプトを書かなければならなくなったとき、頭を掻きむしって、もっといい方法を探すべきだと叫びました。新しいスクリプトを書いてテストして実装しなければならなくなったとき、別のプロジェクトに取り掛かっていました。ひと息つく時間さえありませんでした。」

この問題は、ハティスバーグ・クリニックのパートナー会社がすでに使用していた MOVEit を導入することで簡単に解決できました。MOVEit を導入する前は、クリニックの IT スタッフが各スクリプトを作成するのに30〜60分かかっていましたが、MOVEit を使えば、数分で完了します。

医療機関のマネージドファイル転送 MOVEit 導入事例2:ロチェスター・リージョナル・ヘルス

ロチェスター・リージョナル・ヘルスの経理部門では、提供した医療サービスに対して代価を受け取るために、数多くの保険会社、医療プラン提供者、支払い機関など様々な組織との間で、患者の医療記録、支払い情報、保険請求情報をやりとりする必要があります。また、ロチェスター・リージョナル・ヘルスは、内部サーバーと広範なサード・パーティーのシステム上で稼動する様々なアプリケーションとの間の情報の流れをスムーズにかつセキュアに保つ必要があります。

これらのデータ交換、情報転送は、ファイルがなくなったり、支払いが遅れたり不可能になったりするようなことのないよう、信頼性の高い方法で行われる必要があります。ファイルの動きを簡単に追跡できることも求められます。また、患者のプライバシー保護の観点から、セキュリティの高い方法でのファイル転送が必要で、HIPAA や HITECH といったコンプライアンス制約も満たさなければなりません。

ロチェスター・リージョナル・ヘルスでは、MOVEit を使用して多様なアプリケーション、ハードウェア・プラットフォーム、オペレーション・システムとの間のファイル転送を統合することができました。MOVEit は病院のサーバーからファイルをアップロードし、暗号化した上でサードパーティーのシステムに送信します。例としては、ClaimLogic と SSI ClickON 請求システム、Medicare/Medicaid 決済システム、McKesson と EpicCare の EMR システム、外部の医療提供者が使用する医療管理システムなどがあります。

医療機関のマネージドファイル転送 MOVEit 導入事例3:Medibank

Medibank では、毎日、15GBにも達する量の機密性が高い健康・医療ファイルを転送しなければなりません。この中には、Medibank のサイトと15に及ぶ外部業務提携会社との間で高い安全性で転送されなければならない患者の保険契約レコードも含まれます。オペレーションはすべて透明性があり、いつでも監査に対応できる必要があります。国家安全医療サービス基準や連邦情報コミッショナー事務局が制定した1988年の連邦プライバシー法を含めて、オーストラリア政府や連邦が規定する規制やポリシーを遵守しなければなりません。

Medibank は専用のセキュア転送ツールを所有しておらず、社員はファイル・サイズが制限を越えない限り、電子メールを使っていました。IT 部門では、単一システムを通してすべてのファイル転送アクティビティを管理、チェック、安全保護、コントロールできる自動化ファイル転送システムの調査を開始し、プログレスの MOVEit を導入することにしました。

「大容量の機密性が高いデータを扱う医療組織として、セキュリティとコンプライアンスがおそらくこのプロジェクト最大の重要事項でした。」 - Jason Atkinson 氏、IT クレーム&プロダクト・チームリーダー

Doug Barney

Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.

Read next セキュアなファイル転送: ファイルに関する考慮事項