1996年に制定されたHIPAA(医療保険の相互運用性と説明責任に関する法律)は、機密性の高い医療情報のプライバシーとセキュリティを保護することを目的としています。
目次
HIPAAコンプライアンスのセキュリティルール
HIPAAセキュリティルールは、HIPAAプライバシールールの対象となる情報のうち、電子的に管理・保存される e-PHI(電子保護対象医療情報) を保護することを目的としています。組織がe-PHIを適切に保護するための要件を定めたもので、特定の技術仕様を定義するのではなく、リスクに応じた柔軟な対策の実装を求めています。
セキュリティルールは、具体的なセキュリティ対策を規定しているわけではありません。ただし、「セーフガード」と呼ばれる3つの実装基準が求められています。
- 管理的セーフガード:組織はまず、e-PHIに関わるリスクを分析し、その結果に基づいて必要なセキュリティ対策を決定します。リスク分析およびリスク管理は継続的に実施すべきプロセスです。
- 物理的セーフガード:物理的セーフガードは、e-PHIが保存される場所や設備に対する保護を指します。施設へのアクセス管理、ワークステーションやデバイスの適切な設定・保護などが含まれます。
- 技術的セーフガード:技術的セーフガードは、e-PHIへの不正アクセスや改ざんを防止するための技術的対策です。ファイアウォール、暗号化、バックアップなどを活用し、アクセス制御、監査制御、データ整合性の保持、および伝送セキュリティの機能を確保する必要があります。
最近の医療業界におけるデータ漏洩事例
2022年 SonicWall サイバー脅威レポートでは、2021年に医療分野でマルウェアが前年比121%増と大幅に増加したことが報告されています。また、IoTデバイスを標的としたマルウェア攻撃も医療分野で最も増加しており、前年比71%増となりました。
マルウェアがもたらす脅威を正しく理解するためには、HIPAAで定められた規則やセーフガードを適切に実施していれば、回避できた可能性のある過去のデータ漏洩事例を振り返ることが重要です。
Rehoboth McKinley Christian Health Care Services (RMCHCS)
2021年5月、RMCHCSでは患者20万5,000人以上に対してデータ窃取の試みに関する通知が行われ、病院のEHR(電子健康記録)システムが停止しました。RMCHCSは、2020年を通じて医療業界を執拗に狙っていたランサムウェアグループ「Conti」による攻撃を受けたと報告しています。
後の調査により、Contiによって個人情報が窃取されていたことが判明しました。1月21日から2月5日の約2週間にわたり、社会保障番号、パスポート情報、患者のPHIなどの個人情報がシステムから持ち出されていました。RMCHCSは法執行機関へ速やかに報告したとしていますが、対象者への通知開始が4月末まで遅れた点は問題視されています。
本件はランサムウェア攻撃によるもので、技術的なセーフガードや定期的なリスク評価が十分に実施されていなかったことが明らかとなりました。RMCHCSは患者に情報漏洩を通知しましたが、対応の遅れは個人情報の安全性およびe-PHIの保全性をさらに損なう結果となりました。患者がカルテの確認や修正、ポータルサイトや銀行口座情報の更新、パスポートの再申請など必要な対応を行えるよう、より適切なタイミングで通知が行われるべきでした。
One TouchPoint
ウィスコンシン州ハートランドに拠点を置く郵送・印刷サービス事業者のOne TouchPointは、2022年4月28日にランサムウェア攻撃を受けました。この影響により、少なくとも34の組織、260万人以上の個人が情報漏洩の被害を受けました
攻撃のわずか1日前にOne TouchPointのサーバーが侵害され、機密データが危険にさらされていたことが判明しています。攻撃発覚から6週間以上経過した後、同社は侵害されたファイルに顧客データおよび現・元従業員の機密情報が含まれていたと公表しました。漏えいした情報には、氏名、住所、加入者ID、医療会員IDに加え、診断名や処方情報が含まれていました。この結果、多くの顧客企業は、自費で会員向けに信用情報監視サービス等の提供を行わざるを得ませんでした。
また、本件をめぐり、少なくとも1件の集団訴訟が提起されています。
HIPAAに準拠するための手法
サイバーセキュリティ分野における HIPAA コンプライアンス推進の一環として、米国保健福祉省(HHS)民権局(OCR: Office for Civil Rights)は、HIPAA セキュリティルールと NIST(米国国立標準技術研究所)サイバーセキュリティフレームワークとのマッピングを公開しています。
NIST フレームワークは業界で広く採用されており、このマッピングを活用することで、HIPAA の要求事項への対応をより体系的に進めやすくなります。
また、組織が高いセキュリティ基準を維持できるよう、HIPAA コンプライアンスに関する各種トレーニングや認定プログラムも提供されています。コンサルティング企業に加え、HHS/OCR 自体も、医療機関をはじめとするさまざまな組織向けに学習モジュールを公開し、コンプライアンスの強化を支援しています。
HIPAAコンプライアンスのベストプラクティス
以下のベストプラクティスは、コンプライアンスの達成に寄与します。
1. HIPAA規則を理解する
- HIPAAプライバシー規則:この規則は、医療分野におけるPHIの利用および開示方法を規定しています。規則の概要を把握することで、医療記録へのアクセスや訂正の要求といった患者の権利についての理解が深まります。
- HIPAAセキュリティルール:顧客のPHIを保護するために必要な、技術的・物理的・管理的セーフガードについて規定しています。
- HIPAA違反通知規則:データ漏えいが発生した場合、患者、メディア、HHS(米国保健福祉省)への通知が義務付けられています。
2. リスク評価を実施する
組織が収集・処理・保管するすべてのPHIを特定します。あわせて、PHIを危険にさらす可能性のある脆弱性も特定する必要があります。これには、内外のサイバー脅威、デバイスの紛失・盗難、そして「Cyber Risk Index」に基づく攻撃の可能性が含まれます。
3. ポリシーと手順の策定・運用
リスク評価の結果に基づき、特定されたリスクに対処するためのポリシーと手順を策定・実施します。これにはアクセス制御、バックアップとリカバリ、インシデント対応、教育などが含まれます。これらの規定が常に最新の状況に即しているよう、定期的な見直しと更新を行ってください。
4. 従業員へのトレーニング
全従業員が組織のポリシーを把握している必要があります。PHIを扱う担当者は、その保護方法と違反時の影響を正しく理解しなければなりません。最新の脅威を周知し、ベストプラクティスを徹底させるために、定期的なセキュリティ意識向上トレーニングが不可欠です。
5. 継続的な監視と監査
セキュリティ対策を定期的に見直し、ペネトレーションテスト(侵入テスト)や脆弱性診断を実施してください。これにより、PHIに対する新たな脅威や、漏えい発生時の適切な対応について最新の状態を維持できます。継続的な監査こそが、コンプライアンスを維持し、万全の態勢を整える鍵となります。
プロダクトマネジメント担当バイスプレジデントのScott Sargeantは、サイバーセキュリティとIT分野で25年以上にわたりエンタープライズクラスのソリューションを提供してきた、経験豊富なテクノロジーリーダーです。