医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと（CA Security Reminder）

ある精神疾患を持つ女性が「200ページにわたる非常に機密性の高い自分の臨床記録が、自分が明確な許可もせず知らされてもいないうちに、ある医療関連コンソーシアムの全メンバ企業に電子的に配布されていたことを知り愕然とした」という話をしました。

特集特集

2012年8月6日（月） 13時26分

CA Technologies社 John Sabo氏

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。
プライバシーとアイデンティティ管理に詳しい CA Technologies の John Sabo氏による、北米の医療分野におけるプライバシー保護に関する寄稿を通じて、病院などの医療現場における情報セキュリティ対策の課題を明らかにする。日本国内でも、病院等医療現場におけるセキュリティ対策は急務となっている。

--

プライバシは、テクノロジ・ポリシの問題で最も難しいものの1つと位置づけられつつあります。ワシントンDCにあるジョージタウン大学O’Neill Institute for National and Global Health Lawの主催で最近開催された Health Privacy Summitでも、この点が非常にはっきりと打ち出されました。

このカンファレンスは、PatientPrivacyRights（健康医療プライバシ保護団体）の創立者であり代表を務めるDeborah Peel博士が開催したもので、患者中心のプライバシに焦点をあて、「電子的ヘルス・レコードやシステムにはどの程度の規制が必要なのか」「どの程度が過剰なのか？」「ITは患者に悪影響を及ぼすのか？」「『ビッグデータ』の時代に患者はどれだけのリスクに直面するのか」といった重要な問題を検討しました。

カンファレンスの冒頭では、まず「リスク」の問題が浮き彫りにされました。興味深かったのは、最初に登壇したパネリストの中に精神疾患を持つ女性が含まれており、「200ページにわたる非常に機密性の高い自分の臨床記録が、自分が明確な許可もせず知らされてもいないうちに、ある医療関連コンソーシアムの全メンバ企業に電子的に配布されていたことを知り愕然とした」という話をしたことです。彼女は、ある医者から精神疾患とは関係のない病気の治療を受ける際、臨床記録から得た情報を突きつけられ、臨床記録の配布を知ったのでした。屈辱的な体験を語った女性の話は心に響き、とても説得力がありました。

このプライバシ侵害（この女性から見れば）の一件は、ポリシの不整備によるものだったのでしょうか？ITが悪かったのでしょうか？それとも両方に問題があったのでしょうか？または、精神疾患関係の医療関係者が言ったと女性が語ったように、こうした情報を公開することは「良い習慣」だったのでしょうか？彼女の話によれば、このような（他の医療従事者が通常知る必要があるものより機密性が高い）精神科の臨床記録を区分しておくために必要なセキュリティ/プライバシ・ポリシや統制はありませんでした。また、こうした高機密性データについて、追加のアイデンティティ認証やアクセス制御は導入されていませんでした。そのためのテクノロジはあるのに、必要な制御の導入をポリシが求めていなかったのです。適切なポリシや必要かつ詳細なアイデンティティ、認証、アクセス制御を組み込むことなく基盤的役割を果たすテクノロジ（医療記録のネットワーク化）を採用するのでは、患者の信頼を得ることはできません。

私は次のパネルに参加したのですが、「一番大切なのは『害』とならぬこと ― テクノロジは患者の『害』となるのか？」という物議を醸す議題に取り組むよう依頼されていました。私以外には、電子プライバシ情報センタ、国立衛生研究所、連邦取引委員会、ジョージタウン大学ロースクール、テキサス大学から、健康医療プライバシの専門家がパネリストとして参加していました。

このパネル・ディスカッションでは、ネットワーク化された健康医療電子システムでの「透明性」と患者と医療提供者の信頼関係構築が大きなテーマでした。私は、標準化されたポリシと標準にもとづいたIT機能で想定通りかつ安全にプライバシルールと優先項目を徹底させることが重要だという話をしました。

興味深かったのは、カンファレンスの基調講演で、国家医療IT調整官のFarzad Mostashari 博士が、ポリシ、テクノロジ、文化を「患者を中心に」リンクさせることの難しさについて語ったことです。博士は、システムやテクノロジの信頼はゼロサムゲームではなく、プライバシを後付けすることなく「仕様として存在」させることが主な課題なのだと言いました。また、システムがプライバシをサポートし、医療提供者と患者の間に信頼の絆を築く必要があるとも語りました。

今回のカンファレンスで、私は多くの課題があることを知りました。しかし私達は、ヘルスケア/プライバシ保護コミュニティと連携し、医療提供者と患者が信頼の絆を築くことができるように支援しなければならないということも学んだのでした。

（John Sabo）

筆者略歴：CA Technologies　Global Government Relations 担当ディレクター

医療分野におけるプライバシー保護、一番大切なのは「害」とならぬこと（CA Security Reminder）

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

今日もどこかで情報漏えい第9回「2023年2月の情報漏えい」メール誤送信で懲戒ほか

ランサムウェア感染を隠蔽したソフトウェア企業の末路

Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性（Scan Tech Report）

ペネトレーションテスターは見た！第10回「ペネトレーションテストを超えたペネトレーションテスト」

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか

ランサムウェア感染を隠蔽したソフトウェア企業の末路

Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性（Scan Tech Report）

ペネトレーションテスターは見た！ 第10回「ペネトレーションテストを超えたペネトレーションテスト」

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Windows 11のスクリーンショット、黒塗りを復元できる可能性

警視庁が Emotet 注意喚起、感染時の対処について

Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性（Scan Tech Report）

Joomla!の脆弱性を狙った攻撃をMBSD SOCで観測

Microsoft OneNote形式のファイルを悪用した Emotet の新たな手口を確認

Windows DNSサーバの脆弱性情報が公開

インシデント・事故 記事一覧へ

今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか

「三京商会 公式ショップ」への不正アクセスで8,794名のカード情報が漏えい

「まんが王国」でのシステム障害で他人のメールアドレスが閲覧可能に

ゴルフ場運営ウッドフレンズ運営の3サイトに不正アクセス、個人情報が漏えい

富士通 FENICS のネットワーク機器での不正通信、「ゴールドウインファミリーセール」の会員情報管理システムにも影響

ラウンドワンのホームページが改ざん被害、不適切なWebページに誘導

調査・レポート・白書・ガイドライン 記事一覧へ

健診施設へのアンケート結果公表、年間セキュリティ予算500万円未満が4割弱 ～ 医療 ISAC 調査

情報漏えい「謝罪実態調査」～ 最も許せる お詫びの品が送られてくるタイミングは？

“判明した時点で第一報的公表を検討することが望ましい” ～「サイバー攻撃被害に係る情報の共有・公表ガイダンス」公表

セキュリティを知らないと思われたくない ～ はずかしがりやの経営層 24ヶ国 2,300人調査

15%がランサムウェア被害経験「セキュリティ対策に関する調査結果レポート」公表

こどもにつたえるせきゅりてぃ ～ Proofpointサイバーセキュリティ絵本

研修・セミナー・カンファレンス 記事一覧へ

Azure AD おまえもか、クラウド オンプレ両参加のデバイスに潜む危険

NECソリューションイノベータが提供する「ゼロトラスト」のレシピと製法 ～ 3/23 オンラインセミナー開催

おろそかになるゲートウェイ「2022年の事件事故から考えるセキュリティ運用」ウェビナー開催

OSINT を安易に考えるな ～ 日本ハッカー協会 杉浦氏講演

大阪で「サイバーセキュリティ・プロレス」開催！ セキュリティ・ミニキャンプ in 大阪 2023

しんどいのは受信者だけじゃない？送信側が抱えるあんな悩み、こんな悩み ～ JPAAWG 5th General Meetingレポート-4

製品・サービス・業界動向 記事一覧へ

JPCERT/CC「EmoCheck v2.4.0」リリース、3月に再開したEmotetの戦術変化に対応

高校教師 研究者 弁護士 自衛官 社長 CISO アナリスト フィッシングハンターほか 12 職種 ～ LAC「サイバーセキュリティ仕事ファイル 2」

GMOイエラエ「空飛ぶクルマ」の有人実証飛行に協力

GitHub 上の全パブリックリポジトリで Secret scanning アラート提供

リチェルカセキュリティ、サイバーセキュリティ技術者向けトレーニング提供

「LogStare Collector」新バージョン 2.3.4 リリース、Windows Server 2022、Red Hat Enterprise Linux 9 に対応

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

Scan PREMIUM 創刊24周年記念キャンペーン実施中

ScanNetSecurity 創刊24周年御礼の辞（上野宣）

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催

今日もどこかで情報漏えい第9回「2023年2月の情報漏えい」メール誤送信で懲戒ほか

ペネトレーションテスターは見た！第10回「ペネトレーションテストを超えたペネトレーションテスト」

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

今日もどこかで情報漏えい第9回「2023年2月の情報漏えい」メール誤送信で懲戒ほか

「三京商会公式ショップ」への不正アクセスで8,794名のカード情報が漏えい

調査・レポート・白書・ガイドライン記事一覧へ

健診施設へのアンケート結果公表、年間セキュリティ予算500万円未満が4割弱～医療 ISAC 調査

情報漏えい「謝罪実態調査」～最も許せるお詫びの品が送られてくるタイミングは？

セキュリティを知らないと思われたくない～はずかしがりやの経営層 24ヶ国 2,300人調査

こどもにつたえるせきゅりてぃ～ Proofpointサイバーセキュリティ絵本

研修・セミナー・カンファレンス記事一覧へ

Azure AD おまえもか、クラウドオンプレ両参加のデバイスに潜む危険

NECソリューションイノベータが提供する「ゼロトラスト」のレシピと製法～ 3/23 オンラインセミナー開催

OSINT を安易に考えるな～日本ハッカー協会杉浦氏講演

大阪で「サイバーセキュリティ・プロレス」開催！セキュリティ・ミニキャンプ in 大阪 2023

しんどいのは受信者だけじゃない？送信側が抱えるあんな悩み、こんな悩み～ JPAAWG 5th General Meetingレポート-4

製品・サービス・業界動向記事一覧へ

高校教師研究者弁護士自衛官社長 CISO アナリストフィッシングハンターほか 12 職種～ LAC「サイバーセキュリティ仕事ファイル 2」

おしらせ記事一覧へ

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ