医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

プライバシーとアイデンティティ管理に詳しい CA Technologies の John Sabo氏による、北米の医療分野におけるプライバシー保護に関する寄稿を通じて、病院などの医療現場における情報セキュリティ対策の課題を明らかにする。日本国内でも、病院等医療現場におけるセキュリティ対策は急務となっている。

--

プライバシは、テクノロジ・ポリシの問題で最も難しいものの1つと位置づけられつつあります。ワシントンDCにあるジョージタウン大学O’Neill Institute for National and Global Health Lawの主催で最近開催された Health Privacy Summitでも、この点が非常にはっきりと打ち出されました。

このカンファレンスは、PatientPrivacyRights(健康医療プライバシ保護団体)の創立者であり代表を務めるDeborah Peel博士が開催したもので、患者中心のプライバシに焦点をあて、「電子的ヘルス・レコードやシステムにはどの程度の規制が必要なのか」「どの程度が過剰なのか?」「ITは患者に悪影響を及ぼすのか?」「『ビッグデータ』の時代に患者はどれだけのリスクに直面するのか」といった重要な問題を検討しました。

カンファレンスの冒頭では、まず「リスク」の問題が浮き彫りにされました。興味深かったのは、最初に登壇したパネリストの中に精神疾患を持つ女性が含まれており、「200ページにわたる非常に機密性の高い自分の臨床記録が、自分が明確な許可もせず知らされてもいないうちに、ある医療関連コンソーシアムの全メンバ企業に電子的に配布されていたことを知り愕然とした」という話をしたことです。彼女は、ある医者から精神疾患とは関係のない病気の治療を受ける際、臨床記録から得た情報を突きつけられ、臨床記録の配布を知ったのでした。屈辱的な体験を語った女性の話は心に響き、とても説得力がありました。

このプライバシ侵害(この女性から見れば)の一件は、ポリシの不整備によるものだったのでしょうか?ITが悪かったのでしょうか?それとも両方に問題があったのでしょうか?または、精神疾患関係の医療関係者が言ったと女性が語ったように、こうした情報を公開することは「良い習慣」だったのでしょうか?彼女の話によれば、このような(他の医療従事者が通常知る必要があるものより機密性が高い)精神科の臨床記録を区分しておくために必要なセキュリティ/プライバシ・ポリシや統制はありませんでした。また、こうした高機密性データについて、追加のアイデンティティ認証やアクセス制御は導入されていませんでした。そのためのテクノロジはあるのに、必要な制御の導入をポリシが求めていなかったのです。適切なポリシや必要かつ詳細なアイデンティティ、認証、アクセス制御を組み込むことなく基盤的役割を果たすテクノロジ(医療記録のネットワーク化)を採用するのでは、患者の信頼を得ることはできません。

私は次のパネルに参加したのですが、「一番大切なのは『害』とならぬこと ― テクノロジは患者の『害』となるのか?」という物議を醸す議題に取り組むよう依頼されていました。私以外には、電子プライバシ情報センタ、国立衛生研究所、連邦取引委員会、ジョージタウン大学ロースクール、テキサス大学から、健康医療プライバシの専門家がパネリストとして参加していました。

このパネル・ディスカッションでは、ネットワーク化された健康医療電子システムでの「透明性」と患者と医療提供者の信頼関係構築が大きなテーマでした。私は、標準化されたポリシと標準にもとづいたIT機能で想定通りかつ安全にプライバシルールと優先項目を徹底させることが重要だという話をしました。

興味深かったのは、カンファレンスの基調講演で、国家医療IT調整官のFarzad Mostashari 博士が、ポリシ、テクノロジ、文化を「患者を中心に」リンクさせることの難しさについて語ったことです。博士は、システムやテクノロジの信頼はゼロサムゲームではなく、プライバシを後付けすることなく「仕様として存在」させることが主な課題なのだと言いました。また、システムがプライバシをサポートし、医療提供者と患者の間に信頼の絆を築く必要があるとも語りました。

今回のカンファレンスで、私は多くの課題があることを知りました。しかし私達は、ヘルスケア/プライバシ保護コミュニティと連携し、医療提供者と患者が信頼の絆を築くことができるように支援しなければならないということも学んだのでした。

(John Sabo)

筆者略歴:CA Technologies Global Government Relations 担当ディレクター
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×