クラウド・セキュリティー

医療データのセキュリティー侵害にどう対応するか

記事をシェアする:

「Breach Level Index」にまとめられたデータによれば、2015年前半、医療機関は他のどの業界よりも多くのデータ・セキュリティー侵害に苦しめられました。

医療分野でセキュリティー侵害が起こった主な原因は、医療機関の関係者たちが、してはならないことをしてしまったためです。例えば、デバイスの紛失や置き忘れ、権限のない第三者とのパスワードやアクセス・トークンの共有、患者データの誤送付などです。闇市場では、医療データにはクレジット・カード・データの10倍の値が付くため、漏洩の件数は今後も増えこそすれ、減ることはないでしょう。

医療に関するクラウド・サービスのトリート (改善法)

クラウド・ソリューションは、人為的ミスによる悪影響を軽減できます。データをクラウドに格納すれば、患者データをモバイル・デバイスで運ぶ必要も、記録をファックスや郵便、Eメールで送る必要もなくなります。そしてIDの管理を実現する先進的なソリューションを実装すれば、権限のない人が患者データにアクセスすることもなくなるのです。

また、デバイスの紛失や盗難の際にも、患者データにアクセスできるという利点があります。Eメールを誤って削除した場合や、患者記録をうっかり書き換えてしまった場合でも、クラウド・ソリューションであれば、データのバックアップやリカバリーは簡単になります。

そもそも、完璧に安全なセキュリティー・テクノロジーなど存在しません。暗号化や認証技術のライフ・サイクルは短く、しばしば話題になる過剰な調査のせいで、個別の医療サービスに適したソリューションを選択することは難しくなる可能性もあります。しかし、セキュリティー・サービス・ベンダーと提携することで、こうした高度に専門的なIT関連の決断を医療に従事するマネージャーが下さなくても済むようになります。

クラウド・サービス・プロバイダーは、最先端のセキュアな環境を維持しようとしています。なぜなら、それが競合他社に対する優位点となるからです。柔軟性とコスト削減を実現するサービスでは、もはや差別化にはなりません。クラウド・サービス・プロバイダーは、パッチ適用、物理的なセキュリティー、セキュリティー認証情報に対する懸念を、少なくとも一部は払拭できなければなりません。その結果、専門的なトレーニングを受け、基本的なセキュリティー・インフラストラクチャー、プラットフォーム、ソフトウェアに関連する運用セキュリティー・タスクの管理に携わる専門チームを彼らは手に入れることになります。

とはいえ、このプロバイダーがすべての責任を負うこともできません。

医療機関のトリッキーな部分

クラウド・サービスに業務をアウトソースする医療機関なら、セキュリティーやデータ・ガバナンスに対して自分たち自身も義務を負っていることを認識しなければなりません。運用タスクを任せたとしても、データの所有権、データアクセス、患者記録の共有、他の組織との連携について、自分たちが難しい決定を下さなければならないことには変わりはないのです。さらに、契約に記載したすべての条件とデータ保護規則をサービス・プロバイダーが満たしていることを継続的に確認する必要もありますが、これは、簡単な作業ではありません。そして次のような項目に対処するために、さらなる専門家のサポートが必要になります。

  • オンサイト監査
  • 複数の異なる自治体や国のプライバシーに関する法律の知識
  • インシデント管理の手順
  • セキュリティー違反の場合の緊急的なコミュニケーションの準備

私たちには、金融業界やエンターテインメント業界から得た教訓があります。それは、クラウド・データ・セキュリティー侵害は風評被害や個人的損害をもたらし、破滅をもたらす可能性もあるということです。この影響は、データを所有する医療機関と患者だけでなく、サービス・プロバイダーにも及ぶからです。

サービス・プロバイダーが、データ・セキュリティー侵害の責任を問われ、業務から撤退する可能性もあるのです。医療機関が業務継続計画を策定するに当たっては、プロバイダーが予定通りに問題を切り抜けられない場合や、職務を遂行できない場合に備え、避難的な計画も組み込んでおくと良いでしょう。

トリック(難しい問題)をトリート(改善)に変える

完全に体制が整っている医療機関は、データ保護のトリッキーな部分をトリートに変えることができます。そうした医療機関は、クラウド・セキュリティーのベスト・プラクティスに従っており、サービス・プロバイダーに完全なクラウド・セキュリティー・ポートフォリオの実現を要求しています。その例としては、管理アクセス、データ・セキュリティー、セキュリティー侵害とコンプライアンス違反の監視、最適なセキュリティー運用などが挙げられます。こうしたセキュアなソリューションを提供できる能力を備えたクラウド・サービス・プロバイダーはいくつもありますから、後は、医療機関がふさわしいパートナーを見つけることだけです。

(出典:Security Intelligence より訳出 “Health Care Data Breaches and the Cloud: Trick or Treat?” By NICOLE VAN EURSEN 2015年7月29日)

costofdatabreach2015年 情報漏えい時に発生するコストに関する調査: グローバル分析

2015年 5 月、Ponemon Institue社による情報漏えいに関わるコストに関する分析結果を解説します。

資料ダウンロード(要登録)

More stories
2020-01-15

PSC 様とのコラボレーション対談記事

IBMセキュリティー のビジネス・パートナーである株式会社ピーエスシー様のウェブサイトにて、同社代表取締役 鈴 […]

さらに読む

2020-01-08

【オンデマンドWebセミナー】IBM Securityで実現するハイブリッド・クラウド時代のセキュリティーセミナー

オンデマンドWebセミナーのご案内 IBM Securityで実現するハイブリッド・クラウド時代のセキュリティ […]

さらに読む

2019-12-26

【オンデマンドWebセミナー】IBM Cloud Pak for Securityで加速するハイブリッド・マルチクラウド時代のSOC オペレーション

オンデマンドWebセミナーのご案内 IBM Cloud Pak for Securityで加速するハイブリッド […]

さらに読む