厚労省が推奨しない「BYOD」、米国は医療テレワーク拡大に向け積極導入へ : 海外医療技術トレンド(72) (1/4 ページ)
本連載第66回および第68回で新型コロナウイルス感染症(COVID-19)対応下の米国動向を紹介したが、今回はその米国で拡大する医療テレワークと「BYOD(Bring Your Own Device)」の問題を取り上げる。
本連載第66回 および第68回 で新型コロナウイルス感染症(COVID-19)対応下の米国動向を紹介したが、今回はその米国で拡大する医療テレワークとBYOD(Bring Your Own Device)の問題を取り上げる。
⇒連載「海外医療技術トレンド」バックナンバー
日本の厚生労働省は、「医療情報システムの安全管理に関するガイドライン第5.1版」(2021年1月29日公開、関連情報 )の「6.9. 情報及び情報機器の持ち出しについて」の中で、以下の通り明記している。
個人の所有する、あるいは個人の管理下にある端末の業務利用(以下「BYOD」(Bring Your Own Device)という。)は原則として行うべきではない。上記の要件を実現するためには端末のOSの設定を変更する必要があるが、この機能は管理者に限定されなければならない。管理者以外による設定の変更を技術的あるいは運用管理上、禁止できない限り、BYODは行えない。
これに対して、米国保健福祉省(HHS)は、COVID-19パンデミック対応下の医療におけるテレワーク推進の観点から、BYOD環境を想定したサイバーセキュリティ啓発活動を積極的に展開している。
例えば、「HHSサイバーセキュリティプログラム」(関連情報 )の一環として、HHSが2020年3月26日に公開した「医療におけるセキュアなテレワーキング」(関連情報、PDF )をみると、医療テレワークの潜在的なベネフィットとして、以下のような点を挙げている。
従業員の効果の拡大
目標達成管理の拡大
通勤に関連する遅延の回避
オフィスにおける注意散漫の低減
不動産費用/要件の削減
生活の質の改善による従業員のモラルの向上
通勤−時間とお金の節約
労働環境−親しみやすさ、快適さ、緩いドレスコード
個人的経費−服装、食事購入
緊急/災害時のイベントにおける事業継続
非集中化・分散化した作業の一般化
他方、テレワークの潜在的なリスクとして、以下のような点を挙げている。
従業員の効果の減少
費用の拡大
攻撃対象領域の拡大
その上で、HHSは、テレワークの導入・拡大方法に関して、以下のような考慮点を提示している。
トレーニング(一般従業員および管理者の双方)
一般従業員は、安全な労働に関するトレーニングを受ける必要がある(仮想プライベートネットワーク(VPN)利用、個人識別情報(PII)/保護対象保健情報(PHI)の取り扱い、コラボレーションツールなど)
テレワーク従事者の管理が課題となりうる
管理者は、自分自身の利用のためでなく、従業員がよく訓練された状態を維持し、全力を尽くして頑張るための有効活用を保証するために、従業員が利用しているのと同じツールに精通する必要がある
コミュニケーションと組織が鍵となる
デバイス−割り当てられ、追跡され、セキュア化された
エンドポイント−エンタープライズおよび/またはBYOD(ラップトップ、タブレット端末、携帯電話機など)
セキュリティ(あらゆる形態のPII/PHIの保護)
拡張性のあるインフラストラクチャ
インターネットサービス(組織にとって適切な帯域幅)
帯域外のコミュニケーション手段
VPN技術
多要素認証(MFA)技術
帯域幅のモニタリング・管理(内部および外部)
ポリシー
従業員が、組織の情報リソース(システム、ネットワーク、データ)への日常的なリモートアクセスを要求し、有効活用し、終了する方法を記述する
モバイルシステムの調達、利用、維持を含む
個人所有端末の業務利用(BYOD)の要求事項を含むことがある
ITヘルプデスクは、増加するテレワーカーを支援するために、適切な人員配置をする必要がある
これらのうち、特にBYODポリシーの導入・拡張時の考慮事項として、以下のような点を提示している。
BYODポリシーの再評価−拡張時の要求事項
追加的なトレーニング
BYODデバイスのセキュリティ
管理者は、職位が必要とする組織へのサポート提供を保証するために、計画してリモートワーカーをプロアクティブに管理する
追加的セキュリティ(VPNアカウント、エンドポイントセキュリティの導入)
全てのデバイス(ラップトップ、タブレット、電話など)を含まなければならない
個人のデバイスを上回るセキュリティの導入
多要素認証がすでに設定されている場合、これはよい機会になる
拡張性のあるVPNサービスは、サポートのために、追加的なITリソースや要員を必要とすることがある
VPNアカウントの管理はより一層重要になる
エンタープライズ・セキュリティポリシー
全ての意思決定は、より多くの従業員がテレワークをするにつれて、攻撃対象領域が拡大している点を理解して、行われるべきである
侵入検知およびリアルタイムのインシデント処理はより一層重要になる
セキュリティ情報・イベント管理(SIEM)ツールはより一層重要になる
テレワークポリシーは、全てのリスク低減戦略に適合し、それ自体が業務継続(COOP)計画の一部となる必要がある
米国の場合、IT関連業務や医事会計、医療翻訳、医療記録転写といった業務から、臨床医療寄りの業務へと、医療テレワークの対象業務が拡大しており、それに合わせて、BYOD環境のプライバシー/サイバーセキュリティ対策の重要性が増している。医療従事者が院内外で利用する医療機器やデジタルヘルス関連機器・サービスについても、BYOD環境を想定したセーフティやセキュリティのリスク評価を実施することが不可避となりつつある。
Copyright © ITmedia, Inc. All Rights Reserved.