特に厳しい管理が求められる医療機関での情報管理(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

特に厳しい管理が求められる医療機関での情報管理(2)

特集 特集

●医療機関に大きな影響を与えたHIPAA

米国では特に医療機関で個人情報保護するための法律が、連邦政府で制定されている。そもそも、このHIPAAとは何だろう。正式名称は医療保険の携行性と責任に関する法律(The Health Insurance Portability and Accountability Act)で1996年に可決されたが、発効は2003年4月。医療情報の電子化の推進とそれにまつわるプライバシー保護、セキュリティ確保について定めた。

実は当初の目的は、団体医療保険に加入している雇用者が転職するなどで、雇用主を変更した場合、既存の条件の権利放棄を得られるようにするものだった。それが、発効までの間に法解釈がどんどん変わり、医療機関はプライバシーの権利と医療情報のセキュリティを守るという内容も追加された。例えば、セキュリティセーフガードの実装を命じた項目もあり、米国内外で医療機関などに大きな影響を与えている。

HIPAAで定義されている保護すべき情報は、個人の特定が可能な情報だ。医療機関は
  ・情報の完全・機密性の確保
  ・情報のセキュリティおよび完全性に対する脅威や危険への対策
  ・情報の認可されていない使用や開示などに対し、妥当かつ適切な管理上、技術上、および物理的な保護対策の維持
が求められる。そのため、具体的に
  ・病院等でプライバシー保護の方針を定める
  ・従業員にその方針を教育
  ・徹底を目指して、全体を監視する担当者を定める
というものだ。

読んだ限りでは常識的なものだが、法定化、そして違反の場合は罰金を課すことになったため、医療機関側にとっては非常にコストのかかるものになった。厳しく明確に規定されたことで、医療機関では担当者を新たに雇用したり、社外のサービスを利用する必要があったためだ。今回紹介したコンピュータ盗難や内部犯による情報盗難はHIPAAの違反などとは解釈されていない。

●ブログに個人情報をポスティング

これは3月11日、米国カイザー・パーマネンテの元社員が、ブログに140名の患者の極秘情報を発表したとして、通知を行ったことを『Mercury News』が報道したものだ。

ブログに掲載した女性は、安全でないウェブサイトに患者の情報をカイザーがポスティングしたと『Mercury News』に語っている。「カイザーに(連絡をして)注意を促した」が放置されていたので、さらに「(社会に事実を知ってもらうために)ブログとして出すことにより、誰もがこの情報にアクセスできるということを指摘した。(警告を無視して、カイザーは情報を)1年以上にわたり、インターネット上に放置した」というのだ。また、市民権局(Office of Civil Rights)にセキュリティ違反だと通報したという。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×