米医療機関の侵害に関するレポート:メールよりも重要なものとは

本ブログは、英語版ブログ「https://www.proofpoint.com/us/security-awareness/post/us-healthcare-breaches-bigger-email」の翻訳です。

米国の医療機関が2019年1月1日から11月19日までの間に受けた侵害は387件で、4000万人近くに影響をおよぼしました。これは米保健福祉省(HHS)公民権局(OCR)が公表したもので、保護対象保健情報(PHI)の侵害のうち500人分以上の個人情報が関わったものをリストアップしています。

これらのインシデントの中で最も多かった情報流出源は電子メールでしたが、問題はメール以外にも広がっています。侵害に関するOCRのポータルサイトのデータを分析すると、PHIの保護に関連する複雑さが明らかになります。このサイトはまた、機密データを取り扱うヘルスケア機関の一部およびビジネス関係者、従業員に対する警戒が必要であると主張しています。

ハッキング/ITインシデントが主…しかし、他の行動からも大きな影響

2019年の最初の10か月あまりの間にリストアップされた387件の侵害は、主にハッキングとITインシデントによるものでした。メールは、それらのインシデントの多く(128件)において単一の流出源であり、240万人近くに影響を与えました。しかしネットワークサーバーの侵害による影響と比較すると、総数においては見劣りします。ネットワークサーバーが関与したインシデント(79件)は、件数こそ少ないものの、侵害の影響は3,100万人以上におよびました。

報告された侵害の大部分をハッキング/ ITインシデントが占めたことは、驚くべきことではありません。しかし、ユーザーによる不注意を含む他の行動も、PHIの安全を常に脅かしています:

  • 不適切な情報の廃棄:4件の侵害が約22,000人に影響
  • デバイスおよび紙/フィルム上の記録の損失:12件の侵害が71,000人以上に影響
  • デバイスおよび紙/フィルム上の記録の盗難:28件の侵害が210,000人以上に影響
  • 不正アクセス/流出:108件の侵害が450,000人以上に影響

メールハイジーン(衛生管理)は重要…しかし物理的なセキュリティ対策も重要

OCRは侵害のタイプに加えて、侵害された情報の移動も追跡しています。上記のように、ハッキング/ ITインシデントの中で最も多かった情報流出源は電子メールでした。しかし電子メールは、不正アクセス/流出のうち24件の侵害にも関与しています。合計すると、メールは152件の侵害において単独の侵害経路であり、250万人以上が影響を受けました。

医療従事者がメールの送受信に注意する必要があることは明らかですが、患者データを完全に保護するためには、メールの受信トレイだけではなく、それを超えてセキュリティ意識に関する対策を行う必要があります:

  • ラップトップやその他のポータブル電子デバイスの紛失や盗難により、16件の侵害が発生し、16万人以上が影響を受けました
  • 紙やフィルム上の情報が侵害されたインシデントは37件あり、106,000人に影響を与えました。これらの侵害は、紛失、盗難、不適切な廃棄、および不正アクセス/流出により発生しました。

リスクをアウトソースすることはできません

組織が自らのデータ(または顧客のデータ)を第三者の手に委ねる場合、信頼とリスクが密接に関係していることを認識しなければなりません。多くの医療機関が知っているように、サードパーティが侵害された場合、上流だけでなく下流にも影響がおよびます。

OCRのレポートによると、ビジネス関係者の侵害は387件のインシデントのうち37件を占めており、彼らはさらに47件の違反に「関与」していました。これら84件の侵害(全体の約20%)は、2400万人以上(影響を受けたすべての個人の約60%)に影響を与えました。

サイバーセキュリティへの人中心のアプローチ

人的エラーは常に組織のセキュリティの要因ですが、すべてのエラーが不注意に根ざしているわけではありません。多くは、意識とガイダンスの不足によるものです。データとデバイスを保護する方法を知っている従業員は、サイバーセキュリティ関連のミスを減らします。

医療データには高い価値があり、侵害された場合には高いコストがかかります。それらを考えると、医療機関は自らとビジネス関係者に対するセキュリティ意識向上トレーニングに積極的に取り組む必要があります。しかしそのトレーニングは、単にデータの保護が重要であることをユーザーに伝えるだけでは不十分です。

ユーザーを、PHIの侵害につながる可能性のある(電子メールシステムおよび受信トレイの外での)さまざまな行動を認識し、より適切な意思決定を行えるように指導する必要があります。定期的なトレーニングと継続的な強化は、データとデバイスのセキュリティにおける各個人の役割を重視する文化を構築するために重要です。

 

 

 

Proofpointについて

Proofpoint Inc.(NASDAQ:PFPT)は、人々の働き方を守るクラウドベースのソリューションを提供する次世代の主導的セキュリティ/コンプライアンス企業です。Proofpointのソリューションは、電子メール、ソーシャルメディア、モバイル、クラウドアプリケーション経由で行われる高度な攻撃からユーザーを保護し、高度な攻撃やコンプライアンスリスクからユーザーが作成した情報を保護し、インシデント発生時には迅速に対応できます。詳細はwww.proofpoint.com/jpをご覧ください。

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。

www.proofpoint.com/jp