医療データを守るサイバーセキュリティの考え方
医療業界でデータを保護するのはそれほど簡単ではありません。医療提供者とそのビジネス関係者は、質の高い患者ケアを提供しながら患者のプライバシーを保護し、HIPAA や EU の一般データ保護規則 (GDPR) などのその他の規制に定められた厳格な規制要件を満たすことのバランスを取る必要があります。
サイバーセキュリティとは?
サイバーセキュリティとは、あらゆる種類のサイバー攻撃からネットワーク、デバイス、アプリ、データを保護するために設計された技術、プロセス、実践を指します。
サイバーセキュリティとは、システム、ネットワーク、プログラムをデジタル攻撃から保護することです。これらのサイバー攻撃は通常、機密情報へのアクセス、変更、破壊、ユーザーからの金銭強要、通常のビジネスプロセスの中断を目的としています。
サイバーセキュリティは、情報技術(IT)セキュリティとしても知られています。
サイバーセキュリティはプライベートの医療データをどのように保護するのでしょうか?
医療業界でデータを保護するのはそれほど簡単ではありません。医療提供者とそのビジネス関係者は、質の高い患者ケアを提供しながら患者のプライバシーを保護し、HIPAA や EU の一般データ保護規則 (GDPR) などのその他の規制に定められた厳格な規制要件を満たすことのバランスを取る必要があります。
HIPAAは、テクノロジーを使用する代わりに、対象事業体に対して、患者情報の安全性を確保し、許可された者のみがアクセスでき、許可された目的のみに使用できるようにすることを求めていますが、これらの目的を達成するためにどのようなセキュリティ対策を採用するかは、各対象事業体の判断に委ねられています。医療データ保護に対する規制要件が強化された結果、医療セキュリティのベストプラクティスを実施するために積極的なアプローチをとる医療機関が増えています。
一部の医療機関のデータ保護対策は以下の通りです:
- 医療スタッフの教育
- データとアプリケーションへのアクセス制限
- データ使用の制御を実施
- 使用のログ記録と監視
- データの暗号化
- モバイルデバイスのセキュリティ確保
- 接続されたデバイスのリスクの修正
- 定期的なリスク評価の実施
- オフサイトのデータバックアップの利用
残念なことに、近年、医療機関はハッカーの増大する標的となっています。そのため、データを安全に保護するためにより重要なサイバーセキュリティ対策を実践することがますます重要になっています。
サイバーセキュリティの暗号化は医療機関にとって最も有用なデータ保護方法の一つです。データを伝送および静止時に暗号化することで、攻撃者がデータにアクセスした場合でも、患者情報を解読することがより困難になります(理想的には不可能になります)。HIPAAは勧告を提供していますが、医療機関に対してデータ暗号化対策の実施を明確に要求しているわけではありません。代わりに、HIPAAは、組織のワークフローやその他の必要性に応じて、どのような暗号化手法やその他の対策が必要かを医療提供者やビジネス関係者に委ねています。
特に機密性の高い患者情報の管理を担当する場合、効果的なサイバーセキュリティ対策の維持がさらに重要です。これらの機密情報を安全に保持しないことの結果は厳重です。なぜなら、そのデータは健康保険の携帯性と説明責任(HIPAA)法によって保護されているからです。このような事態を防ぐために、セキュリティチームによって患者記録へのアクセスを制限し、特定の権限を持つスタッフのみがアクセスできるようにします。退職した従業員のアクセス権を常に削除し、システムの監査を行うことでアクセス履歴を確認し、いつ、どの記録が誰によってアクセスされたかを確認してください。
まとめ
データ保護に真剣に取り組む医療機関は、HIPAAやその他の規制コンプライアンス・イニシアチブは、データ保護プログラムを構築し、高額な罰則を回避するための良い出発点である一方、今日の脅威から機密データを確実に保護するためには、コンプライアンスを超えた取り組みが必要であることを認識すべきです。