医療データ侵害が頻発、患者データとHIPAAコンプライアンスが危機に
医療データの侵害と、それに伴うHIPAAコンプライアンス違反はますます一般的になっています。これは、Ponemon Instituteの医療業界におけるセキュリティとプライバシーの現状に関する第6回年次調査から得られた明白な結論の一つです。医療機関(HCO)とそのビジネスパートナー(BA)を対象にした詳細な調査に基づき、Ponemonの調査は過去24ヶ月間において以下のことを発見しました:
- 89%の医療機関が少なくとも1回のデータ侵害を経験している
- 79%の医療提供者が2回の侵害を経験している
- 45%が5回以上のデータ侵害を経験している
医療データ侵害の原因は様々ですが、HCOの内外を問わず犯罪者が重要な役割を果たしています。データ侵害の根本原因について尋ねられた際には:
- 50%の医療機関が犯罪攻撃を挙げた
- 41%が第三者によるエラーを挙げた
- 39%がノートパソコンなどの計算機器の盗難を挙げた
- 13%が悪意のある内部者を挙げた
犯罪者は、医療詐欺やその他の形態のアイデンティティ盗難を行うために盗まれた医療記録の価値を明確に理解しています。盗まれた医療記録は、不正に処方箋を取得したり、電動車椅子などの医療機器を入手したり、数千ドルから数万ドル相当の医療を受けるために使用されることがあります。Experianの報告によれば、医療詐欺の平均的な発生は被害者に$22,000以上の費用をもたらします。そのため、盗まれた医療記録がブラックマーケットで盗まれたクレジットカードの10倍の価格で売られるのは驚くことではありません。
医療詐欺が非常に利益を生むため、HCOとBAは医療ファイルや請求記録への攻撃が続くことを予想すべきです。
免除されない:ビジネスパートナーとその他の第三者
今年のPonemon医療データ調査は、初めてビジネスパートナーを回答者として含めました。医療機関のビジネスパートナーを含めた医療データセキュリティとHIPAAコンプライアンスの焦点を広げることは理にかなっています。2009年、経済的および臨床的健康のための健康情報技術法(一般にHITECH法と呼ばれる)は、HIPAAデータプライバシールールの範囲を拡大し、第三者管理者、医療転写者、法律事務所、CPA事務所、データ分析、実践分析、請求などのサービスを提供するその他のパーティーを含むHCOのビジネスパートナーを対象としました。
彼らの業務の性質上、これらの組織は必然的に医療記録のような保護された健康情報(PHI)を扱うことになり、HCOと同様に医療データ侵害に対して脆弱です。その結果、HITECH法はこれらの組織に対して、HIPAAコンプライアンスを達成するためにHCO自身が使用するデータプライバシーとデータセキュリティの同じ基準を満たすことを要求しています。
HCOは、医療データ侵害を引き起こし、HIPAAコンプライアンス違反を生むBAやその他の第三者によるリスクを認識しているようです。Ponemonの調査によれば、約3分の1のHCOがBAが十分に精査されていないと考えており、約3分の2(61%)のHCOが現在、協力するBAのデータセキュリティ慣行により注意を払っています。
医療データ侵害の問題を解決する
医療データ侵害の頻度と範囲を減らすために、HCOとそのビジネスパートナーは、既存のITシステムと連携する新しいデータセキュリティとデータガバナンスソリューションを必要としています。具体的には、HCOとBAは以下を必要としています:
- 包括的なデータセキュリティ – データは、オンプレミスであれクラウドであれ、企業全体で保護されるべきです。データへのアクセス方法(例:デスクトップ、ノートパソコン、タブレット、モバイルまたはウェアラブル)も考慮される必要があります。データが転送中、使用中、および保存中に暗号化されていることを確認することは、素晴らしいスタートです。
- 包括的なアンチウイルス(AV)保護 – 攻撃者が使用するルートキットやその他のソフトウェアツールを阻止するアンチマルウェアスクリーニングが導入されるべきです。モバイルデバイスでは、機密コンテンツは「セキュアコンテナ」、つまりデバイスの他の場所に存在する可能性のあるマルウェアからの汚染リスクを最小限に抑える保護されたメモリとストレージの領域に保存されるべきです。
- 安全なコラボレーションのサポート – 医療は本質的に協力的な作業であるため、タスク管理、スレッドディスカッションなどの一般的なコラボレーションタスクをサポートするコンテンツ管理ソリューションには、医療提供者が安全に協力できるようにするためのセキュリティ機能が備わっているべきです。
医療データセキュリティとHIPAAコンプライアンスのためのセキュアファイル共有
セキュアファイル共有ソリューション、特にKiteworksのセキュアファイル共有とガバナンスプラットフォームは、HIPAAコンプライアンスのために保護されるべき電子健康記録(EHR)などの機密コンテンツへの安全なアクセスを提供します。セキュアファイル共有ソリューションは、HCOとBAがあらゆる種類のデバイスから、あらゆるコンテンツストアから、Microsoft SharePointのような人気のあるエンタープライズコンテンツ管理(ECM)プラットフォームを含むファイルを共有、送信、同期、編集することを可能にします。
HIPAAコンプライアンスとコラボレーションをサポートしながら、医療データ侵害のリスクを軽減するために設計されたセキュアファイル共有ソリューションは:
- データを使用中、転送中、および保存中に暗号化します。
- IT管理者がセキュリティポリシーを施行し、PHIの配布を監視するためのコントロールと監視ツールを提供します。
- Microsoft SharePoint、EMC Documentum、OpenText、Box、Dropbox、Google Driveなどの幅広いECMプラットフォームおよびデータストレージサービスと統合します。これらの統合により、HCOとBAは、パブリッククラウドデータサービスを含むすべてのコンテンツシステムでセキュリティポリシーを一貫して施行することができます。
- HCO外の信頼できるパートナーとコンテンツを安全に共有することを医療提供者に可能にします。セキュアなコラボレーション機能には、デジタル透かし、管理者とファイルおよびフォルダーの有効期限制限などが含まれます。
- モバイルデバイスとそのコンテンツへのマルウェア感染を防ぐための組み込みのAVスキャンを提供します。
- IT管理者がデバイスが紛失したことを知ったり、従業員が組織を離れた場合に、デバイス上のデータを「リモートワイプ」またはリモート削除することを可能にします。
- タスク管理とスレッドディスカッションをサポートし、モバイル従業員がコンテンツだけでなくコンテンツのコンテキストにもアクセスできるようにします。
質の高い患者ケアには、正確な診断、効果的な治療、そして鉄壁のデータセキュリティが必要です。セキュアファイル共有を使用することで、医療専門家は患者のプライバシーを保護することで質の高い患者ケアを拡張します。