特に厳しい管理が求められる医療機関での情報管理(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.24(木)

特に厳しい管理が求められる医療機関での情報管理(2)

特集 特集

●医療機関に大きな影響を与えたHIPAA

米国では特に医療機関で個人情報保護するための法律が、連邦政府で制定されている。そもそも、このHIPAAとは何だろう。正式名称は医療保険の携行性と責任に関する法律(The Health Insurance Portability and Accountability Act)で1996年に可決されたが、発効は2003年4月。医療情報の電子化の推進とそれにまつわるプライバシー保護、セキュリティ確保について定めた。

実は当初の目的は、団体医療保険に加入している雇用者が転職するなどで、雇用主を変更した場合、既存の条件の権利放棄を得られるようにするものだった。それが、発効までの間に法解釈がどんどん変わり、医療機関はプライバシーの権利と医療情報のセキュリティを守るという内容も追加された。例えば、セキュリティセーフガードの実装を命じた項目もあり、米国内外で医療機関などに大きな影響を与えている。

HIPAAで定義されている保護すべき情報は、個人の特定が可能な情報だ。医療機関は
  ・情報の完全・機密性の確保
  ・情報のセキュリティおよび完全性に対する脅威や危険への対策
  ・情報の認可されていない使用や開示などに対し、妥当かつ適切な管理上、技術上、および物理的な保護対策の維持
が求められる。そのため、具体的に
  ・病院等でプライバシー保護の方針を定める
  ・従業員にその方針を教育
  ・徹底を目指して、全体を監視する担当者を定める
というものだ。

読んだ限りでは常識的なものだが、法定化、そして違反の場合は罰金を課すことになったため、医療機関側にとっては非常にコストのかかるものになった。厳しく明確に規定されたことで、医療機関では担当者を新たに雇用したり、社外のサービスを利用する必要があったためだ。今回紹介したコンピュータ盗難や内部犯による情報盗難はHIPAAの違反などとは解釈されていない。

●ブログに個人情報をポスティング

これは3月11日、米国カイザー・パーマネンテの元社員が、ブログに140名の患者の極秘情報を発表したとして、通知を行ったことを『Mercury News』が報道したものだ。

ブログに掲載した女性は、安全でないウェブサイトに患者の情報をカイザーがポスティングしたと『Mercury News』に語っている。「カイザーに(連絡をして)注意を促した」が放置されていたので、さらに「(社会に事実を知ってもらうために)ブログとして出すことにより、誰もがこの情報にアクセスできるということを指摘した。(警告を無視して、カイザーは情報を)1年以上にわたり、インターネット上に放置した」というのだ。また、市民権局(Office of Civil Rights)にセキュリティ違反だと通報したという。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×