米国で厳格化する医療データの外部委託管理海外医療技術トレンド(24)(2/2 ページ)

» 2017年05月12日 13時00分 公開
[笹原英司MONOist]
前のページへ 1|2       

FBIが医療データ保存サーバに関する注意喚起を発出

図2 図2 米国連邦捜査局(FBI)の医療機関に対するサイバー犯罪の注意喚起 出典:FBI「Cyber Criminals Targeting FTP Servers to Compromise Protected Health Information」(2017年3月22日)

 医療データ保存に対する監督を強化している当局はHHSだけでない。2017年3月22日、米国連邦捜査局(FBI)は、全土の医療機関/歯科医療機関に対し、「保護対象保健情報を危険にさらすFTPサーバを標的にしたサイバー犯罪」と題する民間産業向け告知を発出した(図2参照、関連情報、PDFファイル)。

 2015年に公表されたミシガン大学の「FTP:忘れられたクラウド」と題する報告書によると、匿名モードでアクセス可能な状態に構成されたFTPサーバが100万台以上あるという。FTPの匿名拡張の場合、共通のユーザー名(例:「anonymous」「ftp」など)で、パスワード無しもしくは一般的なパスワードや電子メールアドレスにより認証を受けることが可能である。この匿名モードの隙を突いたサイバー犯罪者が、機微な保護対象保健情報(PHI)や個人識別情報(PII)を保存するFTPサーバに対して、悪意のあるツールや標的型サイバー攻撃を仕掛ける可能性がある。

 FBIは、医療機関や歯科医療機関に対して、個々のITサービス要員に匿名モードで稼働するFTPサーバのネットワークを確認させるよう推奨している。また、事業者が、FTPサーバを匿名モードで運用するために、合法的に利用している場合、管理者は機微なPHI/PIIがサーバ上に保存されていないことを確認すべきであるとしている。

 米国内では、情報漏えい、ID詐欺、診療報酬の不正請求、ランサムウェアによる脅迫など、医療関連の不正事件が頻発しており、サイバーセキュリティの領域で、HIPAAを所管する保健福祉省(HHS)と刑事犯罪捜査を所管するFBIが連携する場面が増えている。

複数法令の要求事項が関わる医療データ保存の外部委託管理

 国際的な情報セキュリティ規格「ISO/IEC 27001:2013」では、ICTサプライチェーンに関わる管理策が要求事項に加えられた。個人患者データが行き来する医療機関や医療保険者のICTサプライチェーンで情報漏えい事故が発生したら、サプライチェーン全体を対象にインシデントレスポンス(事故対応)を実行し、規制当局に報告する必要がある。

 加えて、米国国立標準研究所(NIST)が2017年1月10日に公表した「重要インフラのサイバーセキュリティを向上させるためのフレークワーク 1.1版草案」(関連情報、PDFファイル)では、サイバーセキュリティ評価と並んで、サイバーサプライチェーンリスクマネジメント(C-SCRM)の章が追加された。医療は、金融、電力、公共交通などと並ぶ重要インフラに該当するので、NISTサイバーセキュリティフレームワークが改訂されたら、当然、対応を迫られることになる。医療機関に医薬品、医療機器、情報システムなどを提供するサプライヤー/パートナー企業は、サイバーサプライチェーンのエコシステムを構成すれば、同様の対応を迫られることになる。

 米国の医療機関や医療保険者の間では、サイバーセキュリティ関連の要求事項を調達基準に追加したり、サプライヤー/パートナー企業に対する監査を第三者機関に委託したりするケースが徐々に増えている。米国市場での事業展開を図る日本企業は要注意だ。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


関連キーワード

医療 | FBI | アメリカ | 情報漏洩 | サイバー犯罪


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.