医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと(CA Security Reminder) | ScanNetSecurity
2024.05.10(金)

医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと(CA Security Reminder)

ある精神疾患を持つ女性が「200ページにわたる非常に機密性の高い自分の臨床記録が、自分が明確な許可もせず知らされてもいないうちに、ある医療関連コンソーシアムの全メンバ企業に電子的に配布されていたことを知り愕然とした」という話をしました。

特集 特集
facebookLINE
CA Technologies社 John Sabo氏
CA Technologies社 John Sabo氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。
プライバシーとアイデンティティ管理に詳しい CA Technologies の John Sabo氏による、北米の医療分野におけるプライバシー保護に関する寄稿を通じて、病院などの医療現場における情報セキュリティ対策の課題を明らかにする。日本国内でも、病院等医療現場におけるセキュリティ対策は急務となっている。

--

プライバシは、テクノロジ・ポリシの問題で最も難しいものの1つと位置づけられつつあります。ワシントンDCにあるジョージタウン大学O’Neill Institute for National and Global Health Lawの主催で最近開催された Health Privacy Summitでも、この点が非常にはっきりと打ち出されました。

このカンファレンスは、PatientPrivacyRights(健康医療プライバシ保護団体)の創立者であり代表を務めるDeborah Peel博士が開催したもので、患者中心のプライバシに焦点をあて、「電子的ヘルス・レコードやシステムにはどの程度の規制が必要なのか」「どの程度が過剰なのか?」「ITは患者に悪影響を及ぼすのか?」「『ビッグデータ』の時代に患者はどれだけのリスクに直面するのか」といった重要な問題を検討しました。

カンファレンスの冒頭では、まず「リスク」の問題が浮き彫りにされました。興味深かったのは、最初に登壇したパネリストの中に精神疾患を持つ女性が含まれており、「200ページにわたる非常に機密性の高い自分の臨床記録が、自分が明確な許可もせず知らされてもいないうちに、ある医療関連コンソーシアムの全メンバ企業に電子的に配布されていたことを知り愕然とした」という話をしたことです。彼女は、ある医者から精神疾患とは関係のない病気の治療を受ける際、臨床記録から得た情報を突きつけられ、臨床記録の配布を知ったのでした。屈辱的な体験を語った女性の話は心に響き、とても説得力がありました。

このプライバシ侵害(この女性から見れば)の一件は、ポリシの不整備によるものだったのでしょうか?ITが悪かったのでしょうか?それとも両方に問題があったのでしょうか?または、精神疾患関係の医療関係者が言ったと女性が語ったように、こうした情報を公開することは「良い習慣」だったのでしょうか?彼女の話によれば、このような(他の医療従事者が通常知る必要があるものより機密性が高い)精神科の臨床記録を区分しておくために必要なセキュリティ/プライバシ・ポリシや統制はありませんでした。また、こうした高機密性データについて、追加のアイデンティティ認証やアクセス制御は導入されていませんでした。そのためのテクノロジはあるのに、必要な制御の導入をポリシが求めていなかったのです。適切なポリシや必要かつ詳細なアイデンティティ、認証、アクセス制御を組み込むことなく基盤的役割を果たすテクノロジ(医療記録のネットワーク化)を採用するのでは、患者の信頼を得ることはできません。

私は次のパネルに参加したのですが、「一番大切なのは『害』とならぬこと ― テクノロジは患者の『害』となるのか?」という物議を醸す議題に取り組むよう依頼されていました。私以外には、電子プライバシ情報センタ、国立衛生研究所、連邦取引委員会、ジョージタウン大学ロースクール、テキサス大学から、健康医療プライバシの専門家がパネリストとして参加していました。

このパネル・ディスカッションでは、ネットワーク化された健康医療電子システムでの「透明性」と患者と医療提供者の信頼関係構築が大きなテーマでした。私は、標準化されたポリシと標準にもとづいたIT機能で想定通りかつ安全にプライバシルールと優先項目を徹底させることが重要だという話をしました。

興味深かったのは、カンファレンスの基調講演で、国家医療IT調整官のFarzad Mostashari 博士が、ポリシ、テクノロジ、文化を「患者を中心に」リンクさせることの難しさについて語ったことです。博士は、システムやテクノロジの信頼はゼロサムゲームではなく、プライバシを後付けすることなく「仕様として存在」させることが主な課題なのだと言いました。また、システムがプライバシをサポートし、医療提供者と患者の間に信頼の絆を築く必要があるとも語りました。

今回のカンファレンスで、私は多くの課題があることを知りました。しかし私達は、ヘルスケア/プライバシ保護コミュニティと連携し、医療提供者と患者が信頼の絆を築くことができるように支援しなければならないということも学んだのでした。

(John Sabo)

筆者略歴:CA Technologies Global Government Relations 担当ディレクター

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  5. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  6. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  9. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  10. 経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

    経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

ランキングをもっと見る
ホーム 特集 特集 記事
TOP