検索
連載

厚労省が推奨しない「BYOD」、米国は医療テレワーク拡大に向け積極導入へ海外医療技術トレンド(72)(3/4 ページ)

本連載第66回および第68回で新型コロナウイルス感染症(COVID-19)対応下の米国動向を紹介したが、今回はその米国で拡大する医療テレワークと「BYOD(Bring Your Own Device)」の問題を取り上げる。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

BYOD環境に医療データ保護のセキュリティ支援機能を組み込む

 さらに、NCCoE の草案では、図3に示す通り、サイバーセキュリティとプライバシーリスクの関係を説明している。

図3
図3 サイバーセキュリティとプライバシーリスクの関係(クリックで拡大) 出典:National Institute of Standards and Technology (NIST)「SP 1800-22 Mobile Device Security:Bring Your Own Device (BYOD) Draft」(2021年3月18日)

 サイバーセキュリティリスクが、機密性(Confidentiality)、完全性(Integrity)または可用性(Availability)の損失に起因したサイバーセキュリティインシデントに関連するのに対して、プライバシーリスクは、データ処理に起因するプライバシーインシデントに関連するものであり、両者が重なる部分に、サイバーセキュリティ関連のプライバシーイベントがあるとしている。

 上記の関係をBYODに当てはめると、BYOD環境を通して、権限のない機器による組織のネットワークへの接続が可能になることがあるが、そのセキュリティリスクが、プライバシーに影響を及ぼすとは限らない。他方、雇用主(例:医療機関)が、従業員(例:医療従事者)の個人利用アプリケーション(例:個人の連絡先、カレンダー)へのアクセスを拡大しようとした場合、セキュリティおよびプライバシー双方のリスクが高まると考えられる。また、雇用主が、従業員の訪問先などの位置情報を追跡するためにBYOD機器を利用する場合、セキュリティに直接起因するリスクではないが、プライバシーリスクとなる可能性がある。

 このようなことから、BYOD環境を利用する場合、セキュリティ管理策とプライバシー管理策を連携させて、漏れがないように心掛ける必要がある。特に、米国の医療では、本連載第64回で取り上げたHIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)に基づくプライバシー規則(関連情報)およびセキュリティ規則(関連情報)双方の順守が必須である。BYOD環境下に、医療データ保護支援機能などを組み込めれば、テレワークを行う医療従事者の負荷も軽減されることになる。

 次に、NCCoEの草案では、BYODアーキテクチャについて、以下のような点を整理している。

  • BYODアーキテクチャに対する脅威
  • BYODアーキテクチャに対する脅威を低減するソリューション事例の目標
  • 組織が事例シナリオを活用できる方法
  • ソリューション事例目標の支援技術
  • ソリューション事例のアーキテクチャ
  • ソリューション事例の製品を統合する方法
  • モバイルデバイスデータの収集

 これらのうち、BYODアーキテクチャに対する脅威および軽減策に関連して、図4に示すような形で、セキュリティとプライバシーの目標を達成するためのアーキテクチャを例示している。

図4
図4 セキュリティとプライバシーを目標達成するためのアーキテクチャ(クリックで拡大) 出典:National Institute of Standards and Technology (NIST)「SP 1800-22 Mobile Device Security:Bring Your Own Device (BYOD) Draft」(2021年3月18日)

 このアーキテクチャ上では、以下のようなセキュリティおよびプライバシーに関する留意事項が示されている。

  1. 組織と個人の情報を分離する
  2. 機器からの転送前に、データを暗号化する
  3. 脆弱性のあるアプリケーションを特定し、ブロックまたはアンインストールする
  4. デバイス上でマルウェアを検知する機能を導入する
  5. 信頼された機器のみのアクセスを認める
  6. 機微なアプリケーションや位置情報の収集を制限する

 さらに、ソリューション事例目標の支援技術として、以下のようなソリューションを例示している。

  • 信頼された実行環境
  • エンタープライズ・モビリティ管理(EMM)
  • VPN
  • モバイルアプリケーション審査サービス
  • モバイル脅威防御
  • モバイルOS機能
  • セキュアブート
  • デバイス認証
  • モバイルデバイス管理アプリケーション・プログラミング・インタフェース
  • iOS アプリケーション・トランスポート・セキュリティ(ATS)
  • Androidネットワーク・セキュリティ構成
前のページへ | 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る