2016年の状況については、まだ終了するまで待たなければなりませんが、調査会社IDCのHealth Insights部門の予測によると、今年3人に1人の患者がデータ漏洩の被害者になる可能性があります。 昨年、すべてのリークの最大数は「不正アクセスまたは情報の不正開示の取得」に分類されましたが、最大10のリークの90%が「ITセキュリティの分野でのハッキング/インシデント」として認識されました。 これまでのところ、2016年には別のトレンドが出現しています。主な脅威には、デバイスの盗難や紛失、アーカイブ文書の不正利用などのインシデントが含まれています。 このカテゴリの成長に関連する今年の3つの最大のインシデントを以下に示します(現在)。
- コミュニティマーシーヘルスパートナー
何が起こったのか:紙の文書がゴミ箱で見つかりました
影響を受けるユーザーの数:113,000
- Premier Healthcare、LLC
何が起こったのか:ラップトップは、保護された閉じた管理オフィスから盗まれました(ラップトップはパスワードでのみ保護され、情報は暗号化されていない形式で保存されていました)。
影響を受けるユーザーの数:205,000
- 放射線地域センター、ペンシルバニア州
何が起こったのか:焼却炉に向かう途中で紙の記録が失われました。
負傷したユーザーの数:483,000
このような重大なリークが今日より一般的になり、これらのインシデントを特定して対処することがますます困難になっているため、医療機関はITセキュリティテクノロジーを十分に迅速に実装していないという嫌な評判を得ています。 原則として、これは医療機関がセキュリティインフラストラクチャを改善するための十分な資金を受け取っていないという事実によるものです。残念ながら、サイバーセキュリティの問題はこれらの組織の経営陣にとっての最優先事項ではないためです。 一方、攻撃者はそのような組織が簡単な標的であることを十分に認識しており、組織内のユーザーデータは十分に保護されていません。
ただし、肯定的な例があります。 したがって、ブリティッシュコロンビア(カナダ)のFraser Health Authorityは、ヘルスケア業界の従来の組織とは著しく異なります。 管理者の前向きな行動のおかげで、証明書ベースの認証システムがここに導入されました。 26,000人の従業員と2,500人の医師全員にスマートカードが発行されました。 これにより、Fraserはセキュリティのレベルを大幅に向上させるだけでなく、取引コストの削減、従業員間の労働規律の向上、患者ケアの質の向上など、他の多くの利点を達成できました。 Fraserは、信頼性の高いセキュリティプロトコルの実装が従業員の作業に干渉しないだけでなく、レガシーシステムの動作を最適化することを可能にする優れた例です。
患者の健康の脆弱性
患者の医療記録は、ハッカーにとって最も価値のある流動的な製品の1つです。 闇市場では、電子医療記録の断片であっても、サイバー犯罪者は約100ドルを受け取ることができます。 それに比べて、闇市場で盗まれた社会保障番号やクレジットカード情報は約1ドルと評価されています。 医療記録が非常に貴重な商品である理由は、これらのカードには、社会保障番号、生年月日などの最も重要な情報がすべて含まれているためです。 これにより、泥棒は新しいクレジットカードを取得したり、保険会社や州に架空の医療サービスを請求したりすることができます。
医療記録のもう1つの魅力的な特徴は、道路コストが高いことに加えて、非常に長期間にわたって価値と関連性を失わないことです。 金融情報の場合、被害者が詐欺に気付いてクレジットカードがキャンセルされるか、銀行口座が閉鎖された時点で、それを使用する可能性が終わる場合、医療記録の場合、その情報は長い間闇市場で利用可能なままである可能性があります。 また、この情報は、厳格な報告を行う医療製品の購入や販売、保険付きの詐欺行為など、さまざまな方法で販売または収益化できます。これらはすべて非常に膨大な市場です。
患者記録の価値が高いことが、非常に多くのランサムウェアランサムウェアプログラムが医療業界に登場する主な理由です。 ネットワークデータをエンコードし、キーをデコードするためにキーに現金を必要とするランサムウェアプログラムは、特に時間が時々特別な役割を果たすヘルスケア部門で、顕著な破壊的な性質を持っています。 Healthcare IT NewsとHIMSS Analyticsが実施した最近のQuick HIT Surveyによると、調査に参加している全米国病院の約75%が2015年にこのようなマルウェアの影響を受ける可能性があります。
特に今後数年間でデータ漏洩の増加が予想されるため、ヘルスケア業界のセキュリティ問題はますます懸念されています。 セキュリティ問題の観点から、ヘルスケア業界は世界の他の地域に置き去りにされていると長い間信じられてきました。 実際、健康部門の多くの組織は、時には時代遅れの規制の要件を満たすという事実によってのみ制限されています。
HIMSS Analyticsによる2016年のITセキュリティとリスク管理の調査によると、回答者の4分の1だけが組織内でアクティブなリスク管理のための一貫性のある統一されたプログラムを実施しており、多くの場合、旧世界の企業は海外の企業よりも先を行っています。
特に、オランダの病院であるアルバートシュバイツァージーケンハウス(ASZ)は、主要病院および診療所システムで毎年50万人以上の患者にサービスを提供しています。 この病院は、高レベルの安全性と患者の利便性をうまく組み合わせた組織の好例です。 病院には4,000人以上の従業員がおり、ASZはワンタイムトークンシステムとクラウド認証サーバーを使用しています。 これにより、患者情報の高レベルのセキュリティが確保されますが、同時に、病院の建物内または屋外で、必要な医療情報へのアクセスが、担当医や看護師に提供されます。
スウェーデンは、患者記録の安全性と機密性を確保する高度な技術を備えた別の国です。 ここで、SITHSイニシアチブが機能します。このシステムでは、スマートカードを使用してヘルスケアシステムとソーシャルサービスの従業員を識別し、ログインとデジタル署名を使用して適切なレベルのセキュリティを実現します。 このシステムの重要な要件は、患者の安全性を高め、個人データの保護を確保するスマートカードに基づく2要素認証技術により、開業医のデジタルアカウントを高度に保護することです。 医療従事者は、SITHSカードを使用して、すべての患者情報をオンラインで保存している全国的な患者概要ポータルにアクセスします。 現在、プライマリケアに関するすべての文書の100%は、電子健康記録(Electronic Healthcare Records、EHR)の形式で保存されています。 さらに、スウェーデンで書かれたすべてのレシピの95%以上が電子的に送信されます(ePrescriptions)。 スウェーデンのデジタル医療ソリューションをご覧ください。
医療データへのモバイルアクセスの保護
電子的な患者記録を電子的に保護する方法に精通したので、今度はモバイルテクノロジーに対処するときです。 2020年までに、世界人口の約70%がスマートフォンを使用し、さらに12億台以上のタブレットデバイスが稼働することが予想されます。 世界はますます相互接続されており、その結果、重要なトランザクションの数が増え、情報のやり取りの割合が増えているのは、従来の事務処理ではなく、電子トランザクションです。 これはすべてヘルスケア業界に当てはまります。 患者の医療記録は電子的に保存され、医療スタッフはタブレットデバイスを使用してそれらにアクセスできるようになります。 そのような決定は、病棟または在宅ケアでの患者の訪問を促進する必要があります。
公開キー証明書認証(PKI)ベースのIDカードは、依然として医療従事者の安全を確保するための最も信頼できる方法の1つです。 これらの資格情報により、個人の論理的、物理的、および視覚的な識別が可能になり、患者の機密データが不正アクセスから保護されます。 さらに、物理的にこれらの証明書は、「フォローミーデスクトップ」モデル(情報は常に私と一緒に)を実装する方法で実行できます。たとえば、サスカチュワン(カナダ)の医療機関Sunrise Health Regionは、このようなソリューションを実装しました。 これで、従業員は証明書をカードリーダーに挿入するだけで、セッションを開始し、ターミナル画面で患者の医療記録を見る機会が得られます。 証明書がリーダーから削除されるとすぐに、セッションが閉じられ、HIPAA国際標準に従って患者情報が利用できなくなります。これにより、保護されていないワークステーションを放置することは違反となります。
モバイルデバイスで何が起こりますか? USBポートやスマートカードリーダースロットを持たないタブレットやスマートフォンに同じセキュリティソリューションを実装するのは困難な作業です。 多くの場合、モバイルユーザーに関しては、適用されるセキュリティ標準はそれほど厳密ではなく、場合によっては完全に無視されます。 これは、多くのデバイスでこのようなソリューションが機能しないという事実によるものであり、これは機密医療記録や個人の健康状態に関する個人情報の保護に関して正確に許可されるべきではないものです。
Bluetoothテクノロジは、さまざまなエンドデバイスに実装されている唯一の通信チャネルです。したがって、このテクノロジは、ほとんどすべてのデバイスでの認証に使用できます。 たとえば、医療提供者は、携帯電話を車に取り付けるのと同じように、バッジホルダーアダプターをモバイルデバイスに単に「バインド」できます。 MobilePKIのおかげで、このようなバインディングを確立した後、スマートカードはラップトップのカードリーダーに挿入されたかのように認識され、処理されます。
Bluetoothソリューションを実装することで、医療機関はPKIベースの保護ツールの機能を拡張し、医師や看護師にさらなる自由度とモバイルデバイスをいつでもどこでも使用できるようにすることができます。 Bluetoothでは、2番目のPKI認証要素に加えて、従業員がePrescriptionsなどの重要なドキュメントにデジタル署名することができます。
Bluetooth Low Energyテクノロジーを使用した電子IDアダプターとトークンは、実行可能なソリューションです。 これは、医療機関が簡単に実装でき、電子IDカードの既存のエコシステムに統合して、セキュリティとモビリティの間の必要なバランスを実現できます。
このように、近年、健康の分野でデータ漏えいとなっている「新しい疫病」に対する「ワクチン」は、広く普及しつつあります。