拡大する米国の医療情報漏えいインシデント、医療機器企業はどう対応すべきか：海外医療技術トレンド（81）（2/3 ページ）

[笹原英司，MONOist]

OCRが収集した保健医療情報侵害通知からみる医療IT環境の変化

　ここからは、OCRが発行した2020年版報告書の概要を紹介する。表1は、OCRに報告のあったPHI侵害件数の年別推移を示している。

表1　OCRに報告のあったPHI侵害件数の年別推移 出典：U.S. Department of Health and Human Services「Annual Report to Congress on Breaches of Unsecured Protected Health Information For Calendar Year 2020」（2022年2月）

　OCRによると、2020年に500人以上の個人に影響を及ぼした侵害通知を656件受け取ったが、2019年と比較すると61％の増加となっている。報告を受けた侵害全体で、総数3764万1403人が影響を受けたという。他方、2020年に500人未満に影響を及ぼした侵害通知は6万6509件で、前年比6％の増加となっている。これら小規模の侵害全体で、31万2723人が影響を受けたという。このように、HIPAA適用主体で発生したインシデントは年々増加しており、個人への影響も広範囲に拡大していることが分かる。

　次に図1は、500人以上に影響を及ぼしたPHI侵害通知の報告主体別内訳を示している。

図1　500人以上に影響を及ぼしたPHI侵害通知の報告主体別内訳 出典：U.S. Department of Health and Human Services「Annual Report to Congress on Breaches of Unsecured Protected Health Information For Calendar Year 2020」（2022年2月）

　以下の通り、医療機関による報告が圧倒的に多い点が注目される。

1. 医療機関：504件（77％）
2. 事業提携者（BA）：78件（12％）
3. 医療保険者：72件（11％）
4. 医療費請求処理機関：2件（1％未満）

　そして、医療機関に次いで多いのは事業提携者（BA）である。米国の場合、重要インフラストラクチャを構成する医療機関の外部委託先となるBA固有のプライバシー／セキュリティ要求事項が設定されており、OCRによる査察も、連携先の医療機関とは別個に実施されている。米国内で事業を展開する医療機器企業にとっては、BAに該当する場合、食品医薬品局（FDA）だけでなくOCRの査察への対応も必要となる可能性がある。HIPAA違反事案では、書面によるポリシー／手順の設定や事前リスク評価の実施状況によって、民事制裁金額が左右されることが多い。責任を問われるのは、個別製品ではなく企業およびその代表者たるCEOである。場合によっては刑事責任も問われるので、注意が必要だ。

外部とつながるネットワークサーバや電子メールが標的に

　図2は、 500人以上に影響を及ぼしたPHI侵害通知の原因別内訳を示している。

図2　500人以上に影響を及ぼしたPHI侵害通知の原因別内訳 出典：U.S. Department of Health and Human Services「Annual Report to Congress on Breaches of Unsecured Protected Health Information For Calendar Year 2020」（2022年2月）

　原因別に見ると以下のようになっている。

1. 電子機器またはネットワークサーバのハッキング／ITインシデント：444件（68％）で3426万5326人（91％）が影響を受ける
2. PHIを含む記録の不正アクセスまたは開示：148件（23％）で、247万4480人（7％）が影響を受ける
3. PHIを含む電子機器／ポータブルデバイスの盗難：36件（5％）で、15万5161人（1％未満）が影響を受ける
4. PHIを含む電子メディアまたは紙の紛失：16件（2％）で、17万6169人（1％未満）が影響を受ける
5. PHIの不適切な廃棄：12件（2％）で、57万267人（2％）が影響を受ける

　従来は、ハードウェアや電子メディアの盗難・紛失に起因する大規模インシデントが目立っていたが、昨今は、ハッキングや不正アクセスなど、外部からのサイバー攻撃に起因するインシデントが大半を占める状況になっていることが分かる。

　図3は、500人以上に影響を及ぼしたPHI侵害通知のロケーション別内訳を示している。

図3　500人以上に影響を及ぼしたPHI侵害通知のロケーション別内訳 出典：U.S. Department of Health and Human Services「Annual Report to Congress on Breaches of Unsecured Protected Health Information For Calendar Year 2020」（2022年2月）

　PHIを置いたロケーション別に見ると以下のようになっている。

1. ネットワークサーバ： 266件（41％）で、2460万4946人（65％）が影響を受ける
2. 電子メール：208件（32％）で、1064万3488人（28％）が影響を受ける
3. 紙：78件（12％）で、85万5131人（2％）が影響を受ける
4. 電子医療記録（EMR）：34件（5％）で、36万1307人（1％）が影響を受ける
5. その他：28件（4％）で、44万3267人（1%）が影響を受ける
6. デスクトップコンピュータ： 20件（3％）で、57万4723人（2％）が影響を受ける
7. ラップトップコンピュータ：11件（2％）で、5万1762人（1％未満）が影響を受ける

　従来はローカルのPC端末に保存されていたPHIが漏えいするケースが目立っていたが、昨今は、ネットワーク／インターネット接続環境下のサーバや、院内外のコミュニケーションツールである電子メールにあるPHIのリスクが高まっていることが分かる。その影響は、医療機関のネットワークサーバや電子メールシステムとオンライン上で連携した医療機器企業側のインシデント対応体制にも及ぶ可能性が高い。例えば、医療機関と企業の双方でデータを共有する際に必要なアイデンティティー／アクセス管理システムについては、迅速かつ厳格な運用の維持が要求されることになるので、注意が必要だ。