厚労省が推奨しない「BYOD」、米国は医療テレワーク拡大に向け積極導入へ:海外医療技術トレンド(72)(3/4 ページ)
本連載第66回および第68回で新型コロナウイルス感染症(COVID-19)対応下の米国動向を紹介したが、今回はその米国で拡大する医療テレワークと「BYOD(Bring Your Own Device)」の問題を取り上げる。
BYOD環境に医療データ保護のセキュリティ支援機能を組み込む
さらに、NCCoE の草案では、図3に示す通り、サイバーセキュリティとプライバシーリスクの関係を説明している。
図3 サイバーセキュリティとプライバシーリスクの関係(クリックで拡大) 出典:National Institute of Standards and Technology (NIST)「SP 1800-22 Mobile Device Security:Bring Your Own Device (BYOD) Draft」(2021年3月18日)
サイバーセキュリティリスクが、機密性(Confidentiality)、完全性(Integrity)または可用性(Availability)の損失に起因したサイバーセキュリティインシデントに関連するのに対して、プライバシーリスクは、データ処理に起因するプライバシーインシデントに関連するものであり、両者が重なる部分に、サイバーセキュリティ関連のプライバシーイベントがあるとしている。
上記の関係をBYODに当てはめると、BYOD環境を通して、権限のない機器による組織のネットワークへの接続が可能になることがあるが、そのセキュリティリスクが、プライバシーに影響を及ぼすとは限らない。他方、雇用主(例:医療機関)が、従業員(例:医療従事者)の個人利用アプリケーション(例:個人の連絡先、カレンダー)へのアクセスを拡大しようとした場合、セキュリティおよびプライバシー双方のリスクが高まると考えられる。また、雇用主が、従業員の訪問先などの位置情報を追跡するためにBYOD機器を利用する場合、セキュリティに直接起因するリスクではないが、プライバシーリスクとなる可能性がある。
このようなことから、BYOD環境を利用する場合、セキュリティ管理策とプライバシー管理策を連携させて、漏れがないように心掛ける必要がある。特に、米国の医療では、本連載第64回で取り上げたHIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)に基づくプライバシー規則(関連情報)およびセキュリティ規則(関連情報)双方の順守が必須である。BYOD環境下に、医療データ保護支援機能などを組み込めれば、テレワークを行う医療従事者の負荷も軽減されることになる。
次に、NCCoEの草案では、BYODアーキテクチャについて、以下のような点を整理している。
- BYODアーキテクチャに対する脅威
- BYODアーキテクチャに対する脅威を低減するソリューション事例の目標
- 組織が事例シナリオを活用できる方法
- ソリューション事例目標の支援技術
- ソリューション事例のアーキテクチャ
- ソリューション事例の製品を統合する方法
- モバイルデバイスデータの収集
これらのうち、BYODアーキテクチャに対する脅威および軽減策に関連して、図4に示すような形で、セキュリティとプライバシーの目標を達成するためのアーキテクチャを例示している。
図4 セキュリティとプライバシーを目標達成するためのアーキテクチャ(クリックで拡大) 出典:National Institute of Standards and Technology (NIST)「SP 1800-22 Mobile Device Security:Bring Your Own Device (BYOD) Draft」(2021年3月18日)
このアーキテクチャ上では、以下のようなセキュリティおよびプライバシーに関する留意事項が示されている。
- 組織と個人の情報を分離する
- 機器からの転送前に、データを暗号化する
- 脆弱性のあるアプリケーションを特定し、ブロックまたはアンインストールする
- デバイス上でマルウェアを検知する機能を導入する
- 信頼された機器のみのアクセスを認める
- 機微なアプリケーションや位置情報の収集を制限する
さらに、ソリューション事例目標の支援技術として、以下のようなソリューションを例示している。
- 信頼された実行環境
- エンタープライズ・モビリティ管理(EMM)
- VPN
- モバイルアプリケーション審査サービス
- モバイル脅威防御
- モバイルOS機能
- セキュアブート
- デバイス認証
- モバイルデバイス管理アプリケーション・プログラミング・インタフェース
- iOS アプリケーション・トランスポート・セキュリティ(ATS)
- Androidネットワーク・セキュリティ構成
Copyright © ITmedia, Inc. All Rights Reserved.