医療 IT の3つの鍵：HIPAA、ゼロトラスト、ファイル転送の安全性の確保

医療機関のセキュリティ基準は非常に高く、医療機関の IT 部門はセキュリティ要件を満たすために大変な努力が必要です。中でも、データの保護は最も重要なハードルです。 最も機密性の高いデータはファイルの中に存在しますが、ファイルは様々な場所に動き回るので、セキュリティ確保には十分な配慮が必要です。このブログでは、医療 IT がリスクを軽減するのに役立つ3つの鍵について説明します。

医療機関で扱うファイルの多くには、保護される医療情報 (Protected Health Information、PHI) が含まれています。PHI を完全に保護できないと、この機密データが悪意ある人物によって侵害される可能性があり、HIPAA 違反の制裁金や措置を受けることになります。PHI は保護しなければならず、保存中および転送中に暗号化する必要があります。

医療データ侵害の驚異的なコスト

IBM/Ponemon の分析によって、医療データ侵害のコストは1件あたり923万ドルで、業種別で最も高額であることが判明したと、Beckers Hospital Review ブログで報告されています。IBM のレポートでは、さらに、分析されたデータ侵害の半数近く (44％) には、医療情報、名前、電子メール、パスワードなどの顧客の個人データが含まれていたと報告されています。

医療データの侵害を発見し、特定し、封じ込めるのに要する日数は、平均287日です。IBM/Ponemon レポートは次のように記述しています。

データ漏えいの特定と封じ込めにかかる日数が200日未満の場合、コストは平均361万ドルでしたが、200日以上かかったデータの漏えいにかかるコストは平均487万ドルでした。全体として、データ侵害を特定して封じ込めるのに平均287日かかることがわかりましたが、これは前回のレポートより7日長くなりました。287日かかるということは、1月1日に発生した違反は10月14日まで封じ込めることができないということを意味します。識別して封じ込めるのにかかる日数は、データ侵害の種類、攻撃ベクトル、セキュリティ AI と自動化の使用などの要因、さらにクラウドの最新化段階によって大きく異なります。

HIPAA

データ侵害の問題以外にも、医療機関の IT 部門やセキュリティ部門が対処しなければならない主要な課題として、HIPAA があります。多額の制裁金につながる HIPAA コンプライアンス違反を避けるというだけに留まらず、その根底にある、医療機関は患者のプライバシーを保護するべきであるという理念が重要です。HIPAA の制約を受けない合衆国以外の医療機関でも、HIPAA に準拠することは大いに推奨されます。

HIPAA コンプライアンスの主なポイントは次のとおりです。

• 認証。ユーザーが本人であることを確認する必要があります。
• アクセス・コントロール。適切な許可や権限なしにデータにアクセスできないよう確実にコントロール。
• 送信セキュリティ。当事者間のデータ送信が、転送中も保存中も暗号化されていることが求められます。
• 整合性。許可なく PHI が変更されることは許されません。
• 監査コントロール。ファイル転送の全体的な可視性を提供する完全な監査証跡が必要です。

HIPAA コンプライアンスを満たすには、確実なアクセス・コントロールを確立した上で、送信中、保存中にデータが暗号化されるようにし、ファイルへの変更があれば検出されるようにし、ファイルの移動に関連して発生したすべてが監査証跡に表示されるようにすることが必要です。

ゼロトラスト

ゼロトラストの概念はかなり浸透していますが、ゼロトラストとは、ネットワークの領域が信頼できることが証明されるまでは、まったく何も信用せずにすべてのデータと資産を保護するのが最善の方法であるという考え方です。環境全体の各要素を段階的に操作して、それぞれを安全に保護することです。

ゼロトラストアーキテクチャは、当時 Forrester のアナリストであった John Kindervag 氏によって、2010年に考案されました。CSO magazine は、「ゼロトラストとは、境界の内側または外側にあるものを自動的に信頼してはならず、システムに接続しようとしているすべてを、アクセスを許可する前に検証する必要があるという信念に基づいたセキュリティ概念です。」と説明します。

ファイルについてはあまり表立って議論されることはないようですが、ゼロトラストを実施する上でファイルはまず最初に考えるべき最も重要なものです。ファイルには高レベルの保護が必要であり、明示的な許可と本人であることを証明する認証なしにファイルにアクセスできるようなことがないよう厳重に管理する必要があります。

ゼロトラストの強い支持者であるマイクロソフトは、次のように定義しています。「ゼロトラストモデルは、企業ファイアウォールの背後にあるすべてのものが安全であると想定する代わりに、侵害があり得ることを前提にして、各リクエストをオープンネットワークから発信されたかのように想定して検証します。ゼロトラストは、リクエストの発信元やアクセスするリソースに関係なく、決して信用せず常に検証するよう指示します。すべてのアクセスリクエストは、アクセスを許可する前に完全に認証、承認、暗号化されます。横方向の動きを最小限に抑えるために、マイクロセグメンテーションと最小特権アクセスの原則が適用されます。豊富なインテリジェンスと分析を利用して、異常をリアルタイムで検出して対応します。」

ゼロトラストの鍵の1つは、環境全体で適用する必要がある認証を介した、強力な ID 管理と保護です。

これはゼロトラストに含まれる最小特権アクセスの概念であり、ユーザー権限を絶対に必要なものだけに制限することです。ファイルについて言えば、ファイルをチェックしたり、転送したり、受信したりする必要がある人だけにそうする権利が与えられるということです。

ファイル転送に関する検討事項

ファイル転送の安全性の確保のためには、まず、現在利用しているファイル転送ソリューションについて、立ち止まって見直してみる必要があります。「医療機関 IT 部門が考慮すべきファイル転送の７つの課題」というホワイトペーパーで提起されている検討事項を挙げておきます。

• システムで処理すべき機密度の高い患者ファイルの量は増大しているか、ファイルの複雑さはどうか？
• やっかいなスクリプト使用が問題を複雑化していないか？
• 「自動化された」バッチジョブであるタスクに、時間がかかりエラーが入り込みやすい、スクリプトによるファイル転送ジョブの作成と実行が含まれていないか？
• 患者の健康情報（PHI）のログ要件は満たしているか？
• ファイルがいつ転送されたか、どこに転送されたか、意図した宛先に到着したかを簡単にチェックできるか？
• ファイル転送ジョブのスケジュール設定は簡単に行えるか？
• エンドユーザーが IT を部門の関与のないところで、機密データを危険にさらす不正なファイル転送ソリューションを使用する可能性はあるか？
• 医療保険制度改革法（Affordable Care Act）などの法律で義務付けられている措置はとれているか？

安全なファイル転送のメリット

医療費請求、保険適格性の問い合わせ、HCAHPS 調査など、医療関連業務では、信頼性が高く、安全で、コンプライアンスを満たすファイル転送による PHI 送信が必要になります。マネージド・ファイル・トランスファー・ソリューションであるプログレスの MOVEit は、保存中および移動中のデータの暗号化、意図した受信者への確実な配信、詳細な監査ログを保証し、HIPAA や GDPR へのコンプライアンスを満たすための機能を提供します。医療機関とそのビジネスパートナー間でのファイルの安全で効率的な移動は、処理の合理化を加速し、最終的には患者への医療の質の向上につながります。

MOVEit は、医療機関で使用される、次のようなデータを始め、様々なデータが含まれるファイルを安全、確実に転送でき、転送処理の自動化も可能です。

• 患者の予約確認情報
• 医療レポート
• 医用画像などの大容量データ
• 請求および支払いデータ
• コンプライアンスレポート
• 保険外診療関係のデータ

MOVEit が医療機関にどのように役立つかについては、医療機関向けのマネージド・ファイル・トランスファーのページに詳細がありますが、ここでは主要な３つのメリットを挙げておきます。

付加価値サービスでスムーズな業務拡張

新しい医療サービスプロバイダを簡単に登録でき、医療記録の患者検索といった競争力のあるサービスを迅速に展開できます。

医療サービスの請求と支払い処理を自動化

医療機関の IT 部門は、健康保険申告書フォーム-837と支払い及び送金通知フォーム-835などを安全に保護しながら送受信する責任がありますが、医療費請求プロセスを自動化し、請求や支払い処理を迅速かつ効率的に行うことができます。

患者調査の自動化

患者調査は、医療サービス向上のために極めて重要です。患者調査処理を自動化して、すべてのファイル転送のニーズを満たす、可視性を備えた単一のシステムに統合できます。

医療保険会社、ビバ・ヘルスの事例

10万人以上の個人メンバーを持つ大手医療健康保険会社、ビバ・ヘルスでは、情報の複雑さと膨大さ、面倒な DOS スクリプトを使わなければならないことによる煩雑さなどのため、患者情報のファイル転送に苦労を強いられていました。ビバ・ヘルスの情報システム部長、ライアン・クレイマー氏は、「パスワードが変更されると、すべてのジョブのスケジューリングを手作業でやり直さなければなりませんでした。タスクはよく中断するので、絶えず監視する必要がありました。この種の単純作業は面白味もなく時間ばかりとられます。こういった作業のために、より価値のある仕事をする時間がなくなるということもよくありました。」と話しています。

MOVEit Automation を使った自動化は、ビバ・ヘルスに予想以上の好結果をもたらしました。「MOVEit の導入は、フルタイム当量で2人分相当を節約できたと思います。転送作業に携わっていた一人の社員が別部署に配属されました。この社員の行っていた作業の75%を自動化できたので、彼の担当部分だけでも0.75フルタイム当量の節約になっています。加えて、複数のPCを転送タスクにはりつけておく必要もなくなりました。」と自動化エンジニアのラーガン・マクブライド氏は指摘します。

MOVEit マネージド・ファイル・トランスファー・ソリューション

医療機関が扱うファイルには多くの場合個人の機密情報が含まれており、ファイルの転送は、患者のプライバシーを管理する厳格なポリシーに従って、迅速かつ安全な方法で行う必要があります。つまり、医療機関でのファイル転送における最重要課題は PHI セキュリティと規制コンプライアンスです。医療機関で MOVEit マネージド・ファイル・トランスファー・ソリューションを利用することの大きなメリットは、以下のようなものがあります。

• 生産性向上：　あらゆるサイズまたはタイプのファイルを内外部のユーザーとスムーズに共有可能
• コンプライアンスレポート：　GDPR、PCI、HIPAA、HITECH などへのコンプライアンスレポート作成が簡単
• データ損失のリスク削減：　データ転送の可視性、コントロール、セキュリティ、監査性が向上

MOVEit をご利用いただいているお客様への調査では、55% が MOVEit への投資に対するリターンがすぐに確認できたという結果が出ています。

MOVEit についての詳細は、Web ページをご覧ください。また、ご質問がおありでしたら、何なりとお問い合わせください。