オレンジと青の回路が光る暗い基板の上で、金色に輝く指紋

移動中のデータの保護

1 2023
ブログホーム

医療機関のデータセキュリティに携わっている方であれば、移動中のデータに関する技術を組織が選択する上で、規制や法的責任がなぜこれほど重要な影響を及ぼすかを、不思議にお思いかもしれません。医療セクターの IT 部門にのしかかる課題のひとつは、医療保険の携行性と責任に関する法律(HIPAA)などのデータセキュリティ規制への対応が重要であることです。

この課題は根拠のないものではありません。医療データ漏洩は、収益や医療機関の評判に対して、圧倒的に大きな損害をもたらします。 医療セクターのデータ漏洩の平均コストは、2020 年の 713 万米ドルから 2021 年の 923 万ドルに増大しました。

潜在的な HIPAA 違反ですら罰せられるほど、この規制は厳格です。2019 年に、ロチェスター大学医療センター(URMC)から暗号化されていないノートパソコンとフラッシュドライブが盗まれました。 この事件と URMC の対応を通じて、潜在的な HIPAA 違反の紛争解決のために、米国公民権局(OCR)へ 300 万ドルが支払われました。

HIPAA のルールとセキュリティ要件

HIPAA には、患者とその情報を守るための 3 つの基本ルールがあります。

  • プライバシーのルール:医療情報と文書の保護
  • 違反の通知のルール:医療機関がセキュリティ違反を当局と患者に報告する手順
  • セキュリティのルール:保管および移動中の医療情報(PHI)を保護するためのセキュリティ標準の制定
座ってタブレットを操作する医師と、その上の六角形を使ったアプリのインターフェイス

これらのルールによって、医療機関は確実に電子医療情報(ePHI)の機密保持とセキュリティに対する責任を果たすことができます。また、データへの攻撃を予測し、対策を取ることができます。しかし、それを行うための特定のプロトコル、技術、標準は指定されていません。その理由は、サイバー攻撃の巧妙化に伴い、 HIPAAの セキュリティ技術も進化しなければならないためです。必要な暗号化プロトコルを指定するようなやり方では、特定の技術に縛られて法律の有効性が損なわれる可能性があるため、この法律では ePHI の保護に使用するセキュリティ標準の強度と信頼性のみを規定しています。この規定は、法律を将来にも対応できるものにするため、米国国立標準技術研究所(NIST)の助言の下で決められました。医療機関は、それぞれの状況にもっとも適合するソリューションを選択し、システムに適用することができます。

HIPAA では「保存中」か「移動中」かによって、暗号化ソフトウェアの要件が異なります。

保存中:はアクティブではなく、ハードドライブや SSD か、タブレットのようなデバイスに保存されています。データは、高度な暗号、フルディスク/仮想ディスクセキュリティ、モバイルデバイス暗号化(適用可能な場合)などを使用して保護する必要があります。

移動中:メール経由、クラウドへの転送、サーバーとモバイル間の伝送などによって、送信者と宛先の間をアクティブに移動しています。

HIPAA には、 AES-256 などの手法を用いて準拠できます。AES-256 は米国政府から機密データ処理の認可を受け、総当り攻撃をほぼ不可能にします。TLS(転送レイヤーセキュリティ)は、HTTPS、メール、IM などのデータ転送を保護するもうひとつのプロトコルです。これにも AES-256 が、他のセキュリティ手法と組み合わせて使用されます。OpenPGP(かなり良好なプライバシー保護)と S/MIME も HIPAA に準拠していますが、公開鍵管理の要件もあり、AES-256 や TLS 1.2 と比較して労力がかかると多くの人が感じています。

一般的なおすすめは、保存中のデータに AES-256 暗号化、移動中データに TLS を使用してシステムを保護することです。しかし、これはセキュリティ対策として万能の解決方法ではありません。お使いの HIPAA 対応セキュリティの弱点を洗い出し、軽減することが大切です。

  • スタッフと研修(ソーシャルエンジニアリング):昔から繰り返し語られている真理ですが、サイバーセキュリティの最大の弱点は人であり、それはヘルスケア業界でも変わりません。
  • デバイスの紛失と盗難:上で述べたとおり、ePHI の入ったノートパソコン、フラッシュドライブ、電話などのデバイスを紛失した場合、何百万ドルも支払わなければならなくなることがあります。
  • サードパーティパートナー:ePHI を取り扱うサードパーティのクラウドや IT ベンダは、提携する医療提供者やサービスと同程度の技術セキュリティ標準に準拠する必要があります。
  • 保護されていないメールシステム/サーバー:組織内でまだ保護されていないメールクライアントやサーバーを使用している人がいたら、シャットダウンしてください。
  • 脆弱な暗号化:特に量子コンピューティングなどのコンピュータ技術の革新によって、これまで長い間十分に安全だと考えられていた旧式の暗号化標準が、実際には最近のサイバー犯罪者にとって危険なまでに穴だらけになっています。
  • 更新されていない暗号化鍵や証明書:NIST 推奨の有効期限が切れた後や、データ漏洩の後にも使用されている暗号化鍵は、組織内に侵入される原因になります。

HIPAA 技術セーフガードでは、暗号化要件が「Addressable(対応可能な)」と呼ばれているため、混乱する場合があります。PHI 暗号化の用語はあいまいです。「…entities should implement a mechanism to encrypt PHI whenever deemed appropriat(事業体は、適切と思われる場合はいつでも PHI を暗号化する仕組みを実装する必要があります)」

この文脈で‘「Addressable」とは、セーフガードまたは同等の代替策を実装する必要があり、セーフガードを実装しない場合は文書に正当化の理由を記載しなければならないことを意味します。たとえば、ファイアウォールで保護された内部サーバーを経由した内部通信では、外部から PHI の整合性を損なわれるリスクはありません。しかし ePHI を含む通信が、ファイアウォールで保護された事業体を離れる場合、今度は実効性のあるセーフガードを使用して処理しなければなりません。

最新型のノートパソコンの上に置かれた南京錠と鍵。青く光る南京錠は盾のデザインを持ち、青く光る電子回路に囲まれてる

事業体は、情報が適切に保護されている場合のみ、オープンネットワークを通じてメールで ePHI を伝送できます。リスク管理計画を策定して、ePHI の機密性、整合性、可用性に対するリスクを適切なレベルにまで軽減できるように、リスク解析を行ってそれらのリスクを探す必要があります。

全メッセージの暗号化はリスク管理の一般的手法ですが、同等のレベルの保護も、暗号化の代わりに使用できます。

ノートパソコンやフラッシュドライブの紛失と同じように、個人所有のモバイル機器を職場で使用しても、PHI の整合性を損なうことがあります。医療専門職の 5 人に 4 人がワークフロー管理にタブレットを使用しています。 医療機関内で暗号化されていないデバイスの使用を禁止した場合、コミュニケーションや他の医療業界関連の活動に多大な混乱を引き起こすおそれがあります。

セキュアなメッセージングプラットフォームでは、保存中と移動中の PHI を両方とも暗号化することで HIPAA 暗号化要件に対応しているため、この問題のソリューションとなる可能性があります。PHI を含む通信は、不正な傍受やアクセスをされた場合でも、復号されるおそれがありません。セキュアなメッセージングソリューションは、HIPAA のメール暗号化要件だけでなく、アクセス管理、監査管理、完全性管理、ID 認証などの要件にも適合します。このソリューションでは、(画像を含む)医療情報を安全に共有できるため、ポケットベルよりも有用です。

技術の進歩やサイバー犯罪の巧妙化に従って、患者の医療情報を移動中にも保護するための HIPAA や他の法令などの規制対応は、ますます厳しくなっていくでしょう。

#KingstonIsWithYou

回路基板のチップセット上にある Kingston の Ask an Expert (専門家に照会)アイコン

専門家に照会する

正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。

専門家に照会する

関連記事

ブログホーム