紛失および盗難されたモバイルデバイスが医療データ侵害の主な原因

テキサス州での最近の事件が示すように、紛失または盗難されたノートパソコン、タブレット、スマートフォンは、医療データ侵害を複雑にする可能性があります。 テキサス州ハーリンジェンにあるSunglo Home Health Servicesの本社に侵入した泥棒は、1台のバンに侵入し、別のバンの鍵を見つけ、工具や機器を積み込み、逃走しました。その後、彼はSungloのオフィスに戻り、消火器を使って窓を破り、ノートパソコンを盗みました。 そのノートパソコンには、Sungloの患者の社会保障番号と個人健康情報（PHI）が含まれていました。SungloのIT部門は、データが暗号化されていたかどうかを確認できませんでした。警察は後に泥棒を逮捕しましたが、ノートパソコンは回収されませんでした。この事件の大部分はビデオに記録されています。 この窃盗事件は大きなニュースにはなりませんでしたが、残念ながらこの種の事件は非常に一般的です。紛失や盗難されたモバイルデバイスは、医療データ侵害の主要な原因であり、したがって、Bitglassの最近の調査によれば、HIPAAコンプライアンスの問題を引き起こしています。 調査によると：

• 68パーセントの医療データ侵害は、モバイルデバイスやファイルの紛失または盗難が原因でした。
• 紛失したデータの48パーセントは、ノートパソコン、デスクトップコンピュータ、またはモバイルデバイスにありました。
• モバイルデバイスの紛失または盗難に直接関連しないハッキングによる侵害は、わずか23パーセントでした。

これらの数字が示すように、医療機関（HCO）とそのビジネスパートナーは、HIPAAコンプライアンスを達成し、医療データ侵害やHIPAA侵害を回避するために、モバイルデバイス上のPHIをより適切に保護する必要があります。PHIが転送中または保存中のいずれの場合でも常に暗号化されていることを確認し、IT管理者が紛失または盗難されたデバイスのデータをリモートで消去できるようにするべきです。情報セキュリティポリシーとトレーニングは、モバイルデバイスの使用をカバーするように拡張する必要があります。

医療データ侵害の概要

医療データ侵害は、許可されていない個人が患者、医師、または他の医療専門家に関する機密情報にアクセスする際に発生します。この情報には、医療記録、個人識別情報または保護された健康情報（PII/PHI）、および財務情報が含まれることがあります。

これらの侵害の結果は深刻であり、身元盗難、財務的損失、患者の評判の損害を含む可能性があります。さらに、医療機関とそのビジネスパートナーは、患者データを適切に保護しなかった場合、法的および財務的な影響を受ける可能性があります。

医療データ侵害の一般的な原因には、内部の脅威、ハッキング、偶発的な露出が含まれます。医療機関は、強力なサイバーセキュリティ対策を実施し、スタッフに適切なデータ処理手順をトレーニングし、システムとプロセスの定期的な評価を行うことで、これらの侵害を防ぐための措置を講じることができます。

医療データ侵害の4つの最も一般的な原因

これらの侵害には、いくつかの不安な共通点があります。以下は、医療侵害の主な4つの原因です：

1. セキュリティが不十分なネットワーク：セキュリティが不十分なネットワークは、適切なセキュリティ対策が欠如している場合、容易に侵害されるため、医療データ侵害の最も一般的な原因の一つです。強力なパスワード、ファイアウォール、暗号化がないと、ハッカーはそのようなネットワークにアクセスし、機密の患者情報を盗むことができます。
2. 不十分なトレーニング：プロフェッショナルの過失は、医療データ侵害のもう一つの主要な原因であり、不十分なトレーニングがミスやベストプラクティスの理解不足につながる可能性があります。これにより、スタッフがセキュリティプロトコルを適切に実施したり、簡単に推測されるパスワードを使用したりすることができなくなる可能性があります。
3. 暗号化されていないデータ：医療機関はしばしば、暗号化されていない形式で機密の患者データを保存しており、ハッカーがアクセスしてプライベートな記録を盗むのを容易にしています。このようなデータを保護するために、組織はデータが転送または保存される前に常に暗号化されていることを確認する必要があります。
4. 悪意のあるソフトウェア：マルウェアやランサムウェアなどの悪意のあるソフトウェアは、ハッカーが医療機関のネットワークにアクセスするために使用される可能性があります。

医療データ侵害を引き起こす主なモバイルセキュリティの脅威

モバイル技術は、医療専門家がリモートで作業し、移動中に患者情報にアクセスすることを可能にしました。しかし、この利便性には特定のリスクが伴います。モバイルデバイスは、以下を含むさまざまなセキュリティ脅威に対して脆弱です：

1. 紛失または盗難されたモバイルデバイス：機密の患者情報を含むモバイルデバイスを紛失すると、デバイスがパスワードで保護されていないか暗号化されていない場合、データ侵害につながる可能性があります。
2. マルウェアとフィッシング攻撃：悪意のあるソフトウェアやフィッシング攻撃は、医療専門家をだまして機密情報をダウンロードまたは共有させ、それを悪用する可能性があります。
3. セキュリティが不十分なWi-Fiネットワーク：医療専門家はしばしば公共のWi-Fiネットワークを使用して患者情報にアクセスしますが、ネットワークが安全でない場合、そのデータが危険にさらされる可能性があります。
4. 不十分なセキュリティ対策：多くの医療機関は、強力なパスワード、暗号化、二要素認証など、患者データを保護するための適切なセキュリティ対策を講じていません。
5. モバイルデバイスの個人使用：医療専門家は、個人のデバイスを使用して患者情報にアクセスすることがありますが、デバイスが安全でない場合や他人と共有する場合、リスクが伴います。
6. 古いソフトウェア：モバイルデバイスで古いソフトウェアを使用すると、セキュリティ侵害に対して脆弱になる可能性があります。これらの古いバージョンには、新しい脅威に対する最新のセキュリティパッチや更新が含まれていない可能性があります。
7. 従業員の過失：モバイルセキュリティのベストプラクティスについて適切にトレーニングされていない従業員や、プロトコルに従わない従業員は、機密情報を共有したり、デバイスを紛失したり、フィッシング詐欺に引っかかったりすることで、データ侵害を引き起こす可能性があります。
8. サードパーティアプリ：医療専門家は、患者情報にアクセスするためにサードパーティアプリを使用することがありますが、アプリが安全でない場合や、適切な許可や同意なしにデータにアクセスする場合、リスクが伴います。
9. BYODポリシー：BYODポリシーにより、医療専門家は自分のデバイスを業務目的で使用することができますが、デバイスが適切に保護されていない、監視されていない、または管理されていない場合、セキュリティリスクが生じる可能性があります。
10. 物理的なセキュリティ：盗難やモバイルデバイスへの不正アクセスなどの物理的なセキュリティ脅威も、機密情報が適切に保護または暗号化されていない場合、医療データ侵害につながる可能性があります。

通常盗まれる医療データの種類は何ですか？

ハッカーは、非常に特定の情報を求めてデバイスに侵入することがよくあります。モバイルデバイスから盗まれる最も一般的な医療データの種類は次のとおりです：

1. 名前、住所、社会保障番号などの個人情報
2. 医療履歴、診断、検査結果、保険情報を含む保護された健康情報（PHI）
3. クレジットカード情報および財務データ
4. ログイン名やパスワードなどのアカウント認証情報
5. 電子健康記録に保存された機密の患者データ
6. 患者ケアに関する機密の電子メールやテキストメッセージ
7. X線、CTスキャン、MRIなどの電子医療画像

医療データ侵害の統計

ハッカーが同じ脆弱性を悪用し、同じ種類の医療データにアクセスできる場合、侵害の頻度が増加し、それに伴う財務的損害も増加します。以下は、医療データ侵害に関する5つの不安な統計です：

1. 2018年には1,510万件の医療記録が露出し、これまでで最も多く報告されました。
2. 医療データ侵害の半数以上（54%）は、ハッキングまたはITインシデントによって引き起こされました。
3. 医療データ侵害の平均コストは645万ドルです。
4. 医療機関の約80%は、インシデント対応計画を持っていません。

残念ながら、特にデバイスにPHIが含まれていると疑われる場合、モバイルデバイスの盗難に対する見通しは良くありません。RSAが引用したWorld Privacy Forumによれば：

「盗まれた医療情報の路上価格は約50ドルで、盗まれた社会保障番号の1ドルに比べて高いです。医療ID盗難の平均支払い額は2万ドルで、通常のID盗難の2,000ドルに比べて高額です。」

犯罪者は金を追い、盗まれたPHIは大金の価値があります。PHIを保護し、医療データ侵害を回避するために、HCOとそのパートナーは今すぐ行動を起こすべきです。彼らは、スマートフォン、タブレット、ノートパソコンを含むITセキュリティを強化する必要があります。

医療セクターのデータ侵害の数は他のセクターとどのように比較されますか？

Identity Theft Resource Centerによると、医療セクターは2020年に報告された侵害の11.8%を占め、2番目に多くのデータ侵害を経験しました。ビジネスセクターは報告された侵害の45.1%を占め、最も多くのデータ侵害を経験し、次いで教育セクターが9.7%を占めました。しかし、露出した記録の数に関しては、医療セクターが他のすべてのセクターをリードしています。2020年には、医療セクターが露出したすべての記録の30%以上を占め、次いで金融およびビジネスセクターが続きます。これは、医療セクターにおけるサイバーセキュリティ対策の改善の重要性と継続的な脆弱性を浮き彫りにしています。

影響でランク付けされた医療における13の最大のデータ侵害

盗まれたPHIの金銭的価値を考えると、医療データ侵害が1.一般的であり、2.高額であることは驚くべきことではありません。以下は、財務的影響でランク付けされた医療における13の最大のデータ侵害です：

1. Anthem Inc.：この侵害は史上最大で、驚異的な7,900万人に影響を与えました。ハッカーは、名前、生年月日、住所、社会保障番号、その他の個人情報を含むデータベースに保存された記録にアクセスしました。
2. Premera Blue Cross：この侵害は1,100万人に影響を与えました。ハッカーは、名前、生年月日、住所、社会保障番号、メールアドレスなどを含む記録にアクセスすることができました。
3. UCLA Health System：このデータ侵害では、450万人以上の患者記録が露出しました。記録には、名前、生年月日、社会保障番号、その他の健康情報が含まれていました。
4. Excellus BlueCross BlueShield：この侵害は、約1,000万人に影響を与えました。ハッカーは、社会保障番号、銀行口座番号、医療情報にアクセスしました。
5. Advocate Medical Group：この侵害では、400万人の個人情報が露出しました。記録には、名前、生年月日、社会保障番号、その他のデータが含まれていました。
6. East Coast Orthopedic Group：このデータ侵害では、約450万人の患者記録が露出しました。記録には、名前、住所、社会保障番号、その他の健康情報が含まれていました。
7. Newkirk Products：この侵害では、350万人の患者記録が露出しました。記録には、名前、社会保障番号、生年月日、その他の情報が含まれていました。
8. 21st Century Oncology：この侵害は220万人の患者に影響を与えました。記録には、名前、社会保障番号、生年月日、その他の健康情報が含まれていました。
9. Community Health System：この侵害では、450万人の患者記録が露出しました。記録には、名前、社会保障番号、生年月日、その他の情報が含まれていました。
10. Triad Healthcare：このデータ侵害では、約230万人の患者記録が露出しました。記録には、名前、社会保障番号、生年月日、その他の健康情報が含まれていました。
11. Banner Health：この侵害は370万人に影響を与えました。記録には、名前、社会保障番号、生年月日、その他のデータが含まれていました。
12. CareFirst BlueCross BlueShield：この侵害では、110万人の個人情報が露出しました。記録には、名前、住所、社会保障番号、その他のデータが含まれていました。

医療機関はどのようにしてデータ侵害を軽減できますか？

医療機関におけるデータ侵害は、患者の機密性の侵害、財務的損失、信頼の喪失など、深刻な結果をもたらす可能性があります。データ侵害のリスクを軽減するために、医療機関は強力なセキュリティ対策を実施して患者データをより適切に保護し、潜在的なデータ侵害を防ぐ必要があります。以下は、医療機関が強く考慮すべきデータセキュリティのベストプラクティスです：

1. 強力なセキュリティ対策を実施する：医療機関は、データを保護するために暗号化、ファイアウォール、アクセス制御などの強力なセキュリティ対策を利用する必要があります。
2. 定期的なリスク評価を実施する：定期的なリスク評価を実施することで、脆弱性を特定し、データ侵害を防ぐことができます。
3. 従業員をトレーニングする：従業員にデータセキュリティの重要性、潜在的な脅威の特定と報告方法、機密情報の取り扱いに関するベストプラクティスを教えるために、定期的なトレーニングセッションを実施します。
4. 強力なポリシーと手順を開発する：アクセス制御、データ保持、インシデント対応を含むデータセキュリティのための強力なポリシーと手順を開発し、施行します。
5. 多要素認証を使用する：機密データへの不正アクセスを防ぐために、多要素認証を実施します。
6. 脅威を監視し検出する：医療機関は、潜在的な脅威をリアルタイムで検出し対応するための堅牢な監視および検出システムを備えている必要があります。
7. 信頼できるベンダーと提携する：医療機関は、データセキュリティとプライバシーコンプライアンスの実績があるベンダーと提携する必要があります。
8. インシデント対応の計画を立てる：データ侵害に対応するためのステップバイステップのプロセスを概説した包括的なインシデント対応計画を開発します。これには、通知手順、封じ込めと調査、修復が含まれます。
9. 定期的な監査を実施する：システムとプロセスの定期的な監査を実施して、脆弱性を特定し、データセキュリティ規制へのコンプライアンスを確保します。
10. 規制を最新の状態に保つ：医療機関は、データセキュリティ規制を最新の状態に保ち、HIPAAやGDPRを含むすべての適用法および規制を遵守する必要があります。

Kiteworksは安全なモバイルファイル共有で医療機関のPHI保護を支援します

Kiteworksのプライベートコンテンツネットワークは、医療機関とそのビジネスパートナーが、モバイルデバイスからアクセス、送信、共有、または受信される際にPHIと患者のプライバシーを保護するのに役立ちます。安全なモバイルファイル共有により、医師、管理者、スタッフ、サプライヤー、ベンダーは、PHIを簡単かつ安全に、HIPAAに準拠して共有できます。デバイス上の他のコンテンツからPHIを隔離する安全なモバイルコンテナや、管理者がリモートでPHIを削除できるリモートワイプなどの機能により、医療スタッフは高額な医療データ侵害を回避し、HIPAA違反を避けることができます。Kiteworksを使用すると、医療専門家は安全でシンプルかつコンプライアンスに準拠したモバイルファイル共有ソリューションを利用でき、患者記録に安全にアクセスし、必要なコンテンツを迅速に見つけ、簡単にレビューおよび編集し、安全に共有してデータ侵害やHIPAA違反のリスクを軽減できます。