「健全な医療システム」構築のために求められる“医療データのリスク管理”とは:医療データセキュリティとリスク管理【第3回】
電子医療記録やネットワーク接続をする医療機器の普及に伴い、医療現場のサイバーリスクが急増しています。医療機関が今後重視すべき、サプライチェーン全体でのセキュリティ強化のポイントを解説します。
デジタル化の進展とともに、さまざまな業界で急速な変革が進んでいます。医療業界もその例外ではありません。電子医療記録(EMR)やインターネットに接続された医療機器の活用が広がり、医療機関は患者ケアの質を向上させるべく、より高度なテクノロジーの採用を進めています。こうした技術革新は多くの点で患者ケアの質向上に貢献する一方で、新たなサイバーリスクを医療分野にもたらしています。その結果、医療データの安全な管理において、サイバーセキュリティはこれまで以上に重要な役割を果たすようになっています。
本稿では、現代の医療機関がリスク管理体制を構築・強化する上で考慮すべき重要なポイントについて、以下3つの観点で詳しく解説します。
- 医療データのリスク管理の重要性
- 医療分野における効果的なリスク管理システムの構築で考慮すべきポイント
- 未来に向けた提案
1.医療データのリスク管理の重要性
併せて読みたいお薦め記事
脅威事例についてより広く
- なぜ医療が狙われるのか? 2025年版「DBIR」で読み解くデータ侵害の実態
- “前例のない”大規模システム障害と高額の身代金――2024年のセキュリティ事件簿
- もはや聖域なき「ランサムウェア攻撃」の事例――教育や医療も標的に
ヘルスケアにおけるリスク管理とは、患者の個人情報をはじめとする機密データや医療機器などを、さまざまな潜在的リスクから保護するために、システムとプロセスを特定・分析し、対策を実装する取り組みを指します。特に、医療データは機密性が非常に高く、リスク管理の成否が患者の生死に直結する可能性さえ否めません。そのため、医療業界がこの重要な取り組みを軽視することは決して許されません。
近年、医療技術の進化や患者データのプライバシーに対する意識の高まりにより、医療業界は急速な変革に直面しています。このような状況下で、医療現場でのリスク管理の重要性はますます高まってきており、サイバーセキュリティに対するリスク管理システムを導入する理由を数多く上げることができます。主な目的は、次の3点に集約されます。
- 患者データの保護
- 医療機関は診療記録や個人情報など機密性の高いデータを扱っており、その取り扱いを誤ると患者の健康状態を脅かす可能性があります。米国では、医療保険の携行性と責任に関する法律(HIPAA)により、患者データの安全を確保するための要件とガイドラインが定められています。
- ネットワークの脆弱性の特定と監視
- サイバー攻撃の脅威が高まる中、サイバーセキュリティ対策はあらゆる医療機関において、重要性が高まっています。多くの医療機関がDX(デジタルトランスフォーメーション)を進め、新しいテクノロジーを導入している現在、ネットワークを継続的に監視し、脆弱(ぜいじゃく)性を特定し、対応する体制の整備が求められています。
- ビジネスの継続と患者の安全を確保
- 万が一、サイバー攻撃を受けた場合、医療機関が迅速に通常業務に戻れることは事前のリスク管理体制の整備状況次第です。予期せぬ事態に柔軟かつ効果的に対応でき、医療サービスの継続と患者の安全の確保のため、堅牢(けんろう)なリスク管理体制の整備は要となります。
2.医療分野における効果的なリスク管理システムの構築で考慮すべきポイント
医療機関がサイバーセキュリティリスク管理体制の整備に取り組む際には、リスクの特定、分析、評価、ベンダーリスク管理、法規制への対応など、医療業界が考慮すべき重要なポイントが複数存在します。
導入時に考慮すべき4つのポイントを紹介します。
潜在的なリスクを特定
最初のステップは、組織ネットワーク内の潜在的な脅威や脆弱性を特定することです。これにより、攻撃される可能性がある対象領域を把握し、組織として許容できるリスクのレベル(リスク許容度)と、リスクに対する基本姿勢(リスク選好度)を定めることができます。
サイバー脅威インテリジェンスを活用すれば、過去・現在・未来にわたるサイバー脅威に関する洞察を得ることができます。こうした情報は、攻撃者の動機や手法を含んでおり、未知の脅威や進化し続ける脅威に対してより効果的に備えることができます。
リスクを分析して分類
次のステップでは、リスクが発生する可能性と、発生した際の業務への影響度に基づいて、体系的にリスクを評価・分類していきます。リスクの優先順位付けを行うことで、最も大きな混乱を引き起こす可能性がある課題に対処するための最善の行動指針を、優先的に決定できます。
サードパーティーのリスク評価・管理
多くの医療機関では、診療の効率化と業務効率の最適化を目的に、サードパーティーベンダーと連携するケースが増えています。これに伴い、患者情報(PHI)や業務上の機密データへのアクセス権を有するサードパーティーが増加し、セキュリティリスクも複雑化しています。こうした背景から、各ベンダーのサイバーセキュリティ体制を継続的に評価・監視する取り組みが不可欠となっています。
評価手法としては、外部から取得可能なデータを基にセキュリティ状況を可視化するリスク評価プラットフォームの活用が有効です。これにより、脆弱性、攻撃の痕跡、業界平均との比較などを踏まえ、委託先のリスクを相対的に把握できます。サードパーティー由来の情報漏洩や侵害のリスクが高まる中、医療機関はITエコシステム全体に対する監視を強化する必要があります。
継続的な監視とコンプライアンスの徹底
サイバー脅威の状況は絶えず変化しており、深刻度も増している中、ネットワーク全体を常時監視し、異常や脅威の兆候をリアルタイムに検知する体制を構築することが重要です。米国のHIPAA(医療保険の携行性と責任に関する法律)、PCI DSS(クレジットカード業界セキュリティ基準)などの業界特有のコンプライアンス規制への準拠も医療機関におけるリスク管理にとって重要なポイントです。コンプライアンスを維持するには 、常に規制要件を満たしていることを実証可能な仕組みと運用が求められます。
3.未来に向けた提案
SecurityScorecardの調査によると、米国の医療システムに対するサイバー攻撃は、わずか1年で128%という驚異的な増加を記録したことが明らかになりました。この要因の一つとして、医療業界が多様かつ専門的なサードパーティーとの関係を多数持ち、サプライチェーン全体が複雑であることが考えられます。外部ベンダーとの接点が多い医療機関では、サイバー攻撃の対象領域が拡大傾向にあります。また、医療機関ではサービスの中断が人命に直結するケースがあるため、ランサムウェア攻撃の標的として狙われる傾向が強まっています。
こうした背景を踏まえ、今後の医療業界にはサイバーレジリエンス(耐性)強化に向けた積極的なアプローチが求められます。
- 重要インフラのレジリエンシー(耐性)強化
- 医療サービスの継続的な提供を確保するためには、システムの可用性と回復力を高める設計が不可欠。停電や攻撃といった予期せぬ事態においても、業務を維持できる仕組みを整備する必要がある。
- サプライチェーンの可視化と監視強化
- サードパーティーおよびフォースパーティー(サードパーティーからの委託先)のベンダーを含め、ITエコシステム全体のサイバーセキュリティ状況を把握・監視し、継続的に評価する体制が不可欠。サプライチェーン全体の透明性を高めることが、リスクの最小化につながる。
- 指標・規制の整備と順守
- サイバーリスクを測定可能な形で可視化し、業界共通のベンチマークを設定することで、組織ごとの成熟度や対応レベルを客観的に把握しやすくなる。結果として、レジリエンスの向上と関係者間の信頼醸成にも寄与する。
今後、サプライチェーン上の全関係者が個々のサイバーセキュリティ体制を強化することにより、業界全体で安全・安心な環境を築いていくことが重要です。サイバーリスクに対して透明性と説明責任を持った管理を行うことは、医療機関にとって持続可能性の確保だけでなく、社会的信頼の維持にもつながります。
医療分野におけるサイバー攻撃の被害は、金銭的損失や組織の評判への影響にとどまらず、患者の生命を脅かす深刻なリスクを伴います。こうした事実を踏まえ、医療機関は常に患者の健康と安全を最優先に据え、組織及びサプライチェーン全体でリスク管理を徹底することが求められます。そして、あらゆる脅威に備えるためにも、より強固かつ持続可能なセキュリティ体制の確立に向けた継続的な取り組みが不可欠です。
執筆者紹介
藤本 大(ふじもと・だい) SecurityScorecard 日本法人代表取締役社長
1996年に日本電信電話に入社し、東日本電信電話、NTTコミュニケーションズで法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならずさまざまなセキュリティサービスを提供。 2017年にファイア・アイに入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業
Copyright © ITmedia, Inc. All Rights Reserved.