拡大する米国の医療情報漏えいインシデント、医療機器企業はどう対応すべきか:海外医療技術トレンド(81)(3/3 ページ)
本連載第16回で米国の医療機関のサイバーセキュリティ対策への取り組みを紹介したが、その後も医療情報漏えいインシデントは拡大傾向にある。
小規模インシデントで顕在化する不正アクセスの被害
他方、図4は、500人未満に影響を及ぼしたPHI侵害通知のロケーション別内訳を示している。
図4 500人未満に影響を及ぼしたPHI侵害通知のロケーション別内訳 出典:U.S. Department of Health and Human Services「Annual Report to Congress on Breaches of Unsecured Protected Health Information For Calendar Year 2020」(2022年2月)
前述の大規模インシデントと比較すると、500人未満に影響を及ぼした小規模インシデントの場合、ネットワークサーバ(65%)と電子メール(28%)で全体の9割以上を占めており、ネットワーク/インターネット接続環境下のデータのリスクがさらに高くなっていることが分かる。
さらに図5は、500人未満に影響を及ぼしたPHI侵害通知の原因別内訳を示している。
図5 500人未満に影響を及ぼしたPHI侵害通知の原因別内訳 出典:U.S. Department of Health and Human Services「Annual Report to Congress on Breaches of Unsecured Protected Health Information For Calendar Year 2020」(2022年2月)
これら小規模インシデントの原因別状況は、以下のようになっている。
- 不正アクセスまたは開示:6万1973件(93%)で、19万5582人(63%)が影響を受ける
- 紛失:2662件(4%)で、1万6541人(5%)が影響を受ける
- 盗難:1038件(2%)で、3万1327人(10%)が影響を受ける
- ハッキング/ITインシデント:665件(1%)で、6万2633人(20%)が影響を受ける
- 不適切な廃棄:171件(1%未満)で、6640人(2%)が影響を受ける
前述の大規模インシデントと比較すると、不正アクセス/開示に起因するケースが9割以上を占めている点が注目されている。米国の場合、もともと小規模医療機関において、外部ネットワークやクラウドサービスを利用した医療のデジタル化/IT化が進んできた経緯があり、特に、セキュリティ専門要員が手薄な中小医療施設のシステム環境下での不正アクセス防止対策が、重要なテーマになっている。
OCRはこのようなPHI侵害通知に関する分析を行った上で、今後改善が必要な項目として、以下のような点を挙げている。
- リスク分析とリスク管理
- 情報システム活動のレビュー
- 監査のコントロール
- セキュリティに対する認識とトレーニング
- 認証
いすれの項目も、医療機関だけでなく医療機器企業にとっても共通課題となっているテーマばかりだ。国内外でサイバーインシデントが多発する中、重要インフラとしての医療エコシステムの一翼を担う医療機器企業にとって、医療機関を起点とするインシデントへの一時的な対応策にとどまらず、予防の観点に立った医療データライフサイクル全体の保護策への展開など、継続的な取り組みが要求される。
過去の動向をみると、ランサムウェア攻撃など、海外の医療機関で発生・拡大したサイバーインシデントは、遅かれ早かれ日本の医療機関にも広がっている。それに合わせて、さまざまな技術的対策や物理的対策が開発・導入されているが、医療現場の最前線における組織的対策は思うように進んでおらず、ツール類を使いこなすまでに至っていない。プライバシー/サイバーセキュリティ対策が医療共通の社会課題となっている状況下で、医療機器企業がどのような形で課題解決に貢献できるかが問われている。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「海外医療技術トレンド」バックナンバー
米国で続出するサイバー攻撃による大規模被害、日本も対岸の火事ではない
米国の医療機関におけるサイバーセキュリティ対策が急ピッチで進む一方、続出するサイバー攻撃による大規模被害。日本の医療機器企業にとっても対岸の火事ではない。
APIエコノミーが主導する米国の医療データ連携とAI
本連載ではこれまでにも何度か米国の医療データ相互運用性標準化動向を紹介してきた。これに関連して、新たな経済インセンティブの仕組みづくりが加速している。
米国はバイデン政権へ移行、医療機器のイノベーション支援策はどうなるのか
米国はトランプ政権から新たに大統領に就任するジョー・バイデン氏の次期政権に移行することとなった。医療機器のイノベーション支援策はどのような形で引き継がれるのだろうか。
フィットネストラッカーにも広がる米国のセキュリティ規制、異業種連携も加速
前回の連載第76回では米国の医療機器サイバーセキュリティ規制動向を取り上げたが、医療機器に該当しない健康アプリケーション/機器でも、新たな規制に向けた動きが顕在化している。
AI実装に踏み込む米国FDAの医療機器ガイドライン策定計画
本連載第78回、第79回と、欧州の医療機器に関わる規制動向を取り上げた。一方、米国のFDAはAIをはじめとする新技術利用に重点を置いた規制改革を推進している。