医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと(CA Security Reminder) | ScanNetSecurity
2024.05.14(火)

医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと(CA Security Reminder)

ある精神疾患を持つ女性が「200ページにわたる非常に機密性の高い自分の臨床記録が、自分が明確な許可もせず知らされてもいないうちに、ある医療関連コンソーシアムの全メンバ企業に電子的に配布されていたことを知り愕然とした」という話をしました。

特集 特集
facebookLINE
CA Technologies社 John Sabo氏
CA Technologies社 John Sabo氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。
プライバシーとアイデンティティ管理に詳しい CA Technologies の John Sabo氏による、北米の医療分野におけるプライバシー保護に関する寄稿を通じて、病院などの医療現場における情報セキュリティ対策の課題を明らかにする。日本国内でも、病院等医療現場におけるセキュリティ対策は急務となっている。

--

プライバシは、テクノロジ・ポリシの問題で最も難しいものの1つと位置づけられつつあります。ワシントンDCにあるジョージタウン大学O’Neill Institute for National and Global Health Lawの主催で最近開催された Health Privacy Summitでも、この点が非常にはっきりと打ち出されました。

このカンファレンスは、PatientPrivacyRights(健康医療プライバシ保護団体)の創立者であり代表を務めるDeborah Peel博士が開催したもので、患者中心のプライバシに焦点をあて、「電子的ヘルス・レコードやシステムにはどの程度の規制が必要なのか」「どの程度が過剰なのか?」「ITは患者に悪影響を及ぼすのか?」「『ビッグデータ』の時代に患者はどれだけのリスクに直面するのか」といった重要な問題を検討しました。

カンファレンスの冒頭では、まず「リスク」の問題が浮き彫りにされました。興味深かったのは、最初に登壇したパネリストの中に精神疾患を持つ女性が含まれており、「200ページにわたる非常に機密性の高い自分の臨床記録が、自分が明確な許可もせず知らされてもいないうちに、ある医療関連コンソーシアムの全メンバ企業に電子的に配布されていたことを知り愕然とした」という話をしたことです。彼女は、ある医者から精神疾患とは関係のない病気の治療を受ける際、臨床記録から得た情報を突きつけられ、臨床記録の配布を知ったのでした。屈辱的な体験を語った女性の話は心に響き、とても説得力がありました。

このプライバシ侵害(この女性から見れば)の一件は、ポリシの不整備によるものだったのでしょうか?ITが悪かったのでしょうか?それとも両方に問題があったのでしょうか?または、精神疾患関係の医療関係者が言ったと女性が語ったように、こうした情報を公開することは「良い習慣」だったのでしょうか?彼女の話によれば、このような(他の医療従事者が通常知る必要があるものより機密性が高い)精神科の臨床記録を区分しておくために必要なセキュリティ/プライバシ・ポリシや統制はありませんでした。また、こうした高機密性データについて、追加のアイデンティティ認証やアクセス制御は導入されていませんでした。そのためのテクノロジはあるのに、必要な制御の導入をポリシが求めていなかったのです。適切なポリシや必要かつ詳細なアイデンティティ、認証、アクセス制御を組み込むことなく基盤的役割を果たすテクノロジ(医療記録のネットワーク化)を採用するのでは、患者の信頼を得ることはできません。

私は次のパネルに参加したのですが、「一番大切なのは『害』とならぬこと ― テクノロジは患者の『害』となるのか?」という物議を醸す議題に取り組むよう依頼されていました。私以外には、電子プライバシ情報センタ、国立衛生研究所、連邦取引委員会、ジョージタウン大学ロースクール、テキサス大学から、健康医療プライバシの専門家がパネリストとして参加していました。

このパネル・ディスカッションでは、ネットワーク化された健康医療電子システムでの「透明性」と患者と医療提供者の信頼関係構築が大きなテーマでした。私は、標準化されたポリシと標準にもとづいたIT機能で想定通りかつ安全にプライバシルールと優先項目を徹底させることが重要だという話をしました。

興味深かったのは、カンファレンスの基調講演で、国家医療IT調整官のFarzad Mostashari 博士が、ポリシ、テクノロジ、文化を「患者を中心に」リンクさせることの難しさについて語ったことです。博士は、システムやテクノロジの信頼はゼロサムゲームではなく、プライバシを後付けすることなく「仕様として存在」させることが主な課題なのだと言いました。また、システムがプライバシをサポートし、医療提供者と患者の間に信頼の絆を築く必要があるとも語りました。

今回のカンファレンスで、私は多くの課題があることを知りました。しかし私達は、ヘルスケア/プライバシ保護コミュニティと連携し、医療提供者と患者が信頼の絆を築くことができるように支援しなければならないということも学んだのでした。

(John Sabo)

筆者略歴:CA Technologies Global Government Relations 担当ディレクター

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  2. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  3. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  4. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  5. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  6. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  7. テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

    テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

  8. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  9. 東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

    東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

  10. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

ランキングをもっと見る
ホーム 特集 特集 記事
TOP