ここからは、OCRが発行した2020年版報告書の概要を紹介する。表1は、OCRに報告のあったPHI侵害件数の年別推移を示している。
OCRによると、2020年に500人以上の個人に影響を及ぼした侵害通知を656件受け取ったが、2019年と比較すると61%の増加となっている。報告を受けた侵害全体で、総数3764万1403人が影響を受けたという。他方、2020年に500人未満に影響を及ぼした侵害通知は6万6509件で、前年比6%の増加となっている。これら小規模の侵害全体で、31万2723人が影響を受けたという。このように、HIPAA適用主体で発生したインシデントは年々増加しており、個人への影響も広範囲に拡大していることが分かる。
次に図1は、500人以上に影響を及ぼしたPHI侵害通知の報告主体別内訳を示している。
以下の通り、医療機関による報告が圧倒的に多い点が注目される。
そして、医療機関に次いで多いのは事業提携者(BA)である。米国の場合、重要インフラストラクチャを構成する医療機関の外部委託先となるBA固有のプライバシー/セキュリティ要求事項が設定されており、OCRによる査察も、連携先の医療機関とは別個に実施されている。米国内で事業を展開する医療機器企業にとっては、BAに該当する場合、食品医薬品局(FDA)だけでなくOCRの査察への対応も必要となる可能性がある。HIPAA違反事案では、書面によるポリシー/手順の設定や事前リスク評価の実施状況によって、民事制裁金額が左右されることが多い。責任を問われるのは、個別製品ではなく企業およびその代表者たるCEOである。場合によっては刑事責任も問われるので、注意が必要だ。
図2は、 500人以上に影響を及ぼしたPHI侵害通知の原因別内訳を示している。
原因別に見ると以下のようになっている。
従来は、ハードウェアや電子メディアの盗難・紛失に起因する大規模インシデントが目立っていたが、昨今は、ハッキングや不正アクセスなど、外部からのサイバー攻撃に起因するインシデントが大半を占める状況になっていることが分かる。
図3は、500人以上に影響を及ぼしたPHI侵害通知のロケーション別内訳を示している。
PHIを置いたロケーション別に見ると以下のようになっている。
従来はローカルのPC端末に保存されていたPHIが漏えいするケースが目立っていたが、昨今は、ネットワーク/インターネット接続環境下のサーバや、院内外のコミュニケーションツールである電子メールにあるPHIのリスクが高まっていることが分かる。その影響は、医療機関のネットワークサーバや電子メールシステムとオンライン上で連携した医療機器企業側のインシデント対応体制にも及ぶ可能性が高い。例えば、医療機関と企業の双方でデータを共有する際に必要なアイデンティティー/アクセス管理システムについては、迅速かつ厳格な運用の維持が要求されることになるので、注意が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.