デジタルヘルスケアデータをサイバー攻撃から守る

2023年、保健社会福祉省（HHS）の公民権局（OCR）は、500人以上の個人に影響を与えた541件のデータ漏洩を報告した。これらのインシデントの中には、夏に大きく報道されたHCAヘルスケアでの情報漏洩のように、数百万人、あるいは数千万人の個人に影響を与えたものもある。 

同じ年の感謝祭に、アーデント・ヘルス・サービスはランサムウェア攻撃を受け、この30病院のシステムは積極的にシャットダウンし、IT アプリケーションへのすべてのユーザーアクセスを一時停止した。その結果、緊急ではない処置に遅れが生じた。 

2024年2月現在、HIPAAジャーナルは1万件の医療記録を含む24件のデータ漏洩を記録している。 

データ保護に対する組織の責任を問う立法府の動きに伴い、医療データのセキュリティをめぐる新たな業界要件が目前に迫っている。 

HIPAAプライバシー規則、45 CFR Part 160およびPart 164のサブパートAおよびEは、保護されるべき健康情報（PHI）の許可された使用と要求される開示を定義している。PHIは、紙、フィルム、電子形式を含むあらゆる形態で存在し得、個人を特定できる健康情報とみなされる。 

HIPAAセキュリティ規則（45 CFR Part 160およびPart 164、サブパートAおよびC）は、電子PHI（ePHI）の要件を概説している。対象事業体およびその事業関連者は、ePHIの機密性、完全性、および可用性を維持することが義務付けられている。 

HIPAA違反通知規則（45 CFR §164.400-414）は、HIPAAの対象となる事業体およびその業務提携者に対し、保護されていない保護されるべき医療情報の違反後に通知を提供することを義務付けている。 

2024年2月に発行されたNIST Special Publication 800NIST SP 800-66r2は、規制対象事業体（すなわち、HIPAAの対象事業体および業務関連事業体）に対して、ePHIに対するリスクの評価と管理に関するガイダンスを提供し、規制対象事業体が情報セキュリティプログラムの一環として実施を検討する可能性のある典型的な活動を特定し、規制対象事業体がサイバーセキュリティ態勢を改善し、HIPAAセキュリティ規則への準拠を達成するのを支援するために、全体的または部分的に利用できるガイダンスを提示している。 

2023年12月、保健福祉省（HHS）は、医療分野におけるサイバーセキュリティ戦略の概要を示すコンセプトペーパーを発表した。この戦略では、取締りの強化や業界標準の確立が強調されている。続いて2024年1月、HHSは医療・公衆衛生部門固有のサイバーセキュリティ・パフォーマンス目標（CPG）を発表した。これらの目標は「必須（essential）」と「強化（enhanced）」のカテゴリーに分かれており、ヘルスケア業界で広く見られるサイバーセキュリティの脆弱性に対処することを目的としている。 

HHS 405(d)プログラムは、強固なデータセキュリティ対策の実施という複雑な課題に取り組む医療機関に、実践的なガイダンスを提供します。このイニシアチブは、包括的なデータセキュリティのフレームワークの極めて重要な要素として、データ損失防止（DLP）システムを戦略的に統合することを強調しています。DLPソリューションを医療ワークフローの明確なニーズに合わせて調整することで、誤検知を大幅に減らし、データ保護イニシアチブの全体的な有効性を高める可能性があります。  

グラム・リーチ・ブライリー法（GLBA）、家族教育権利プライバシー法（FERPA）、公正信用報告法（FCRA）などの連邦法は、個人データの機密性を保護している。これらの連邦規制に加え、新たな州法も続々と登場し、データプライバシーと保護対策はさらに強化されています： 

患者データと安全性が最重要視される中、医療従事者は既存のセキュリティツールが進化する脅威に対して有効であることをどのように確認すればよいのだろうか。 

地域の小規模医療機関を標的とした攻撃が顕著に増加しており、強力なサイバーセキュリティ対策の必要性が浮き彫りになっている。これらの組織は通常、極めて機密性の高いデータを保存しているため、ハッカーの格好の標的となっている。潜在的な被害を最小限に抑えるためには、データ損失防止とプロアクティブな脅威検知を組み込んだ「多層的」セキュリティ・アプローチを導入することが極めて重要です。 

DLPには、患者記録やPHIのような機密データの不注意または不正な開示を回避することを目的とした戦略が含まれます。PHIの漏洩が患者に重大な影響を与える可能性があり、個人情報の盗難や医療の危険につながる可能性がある医療では、これは特に重要です。堅牢なDLP戦略を確立することは、組織がデータ漏洩を軽減し、医療データのセキュリティと機密性を維持するために不可欠です。 

OPSWAT Proactive DLPは、ファイルや電子メールに含まれる機密データやポリシー外の機密データを検出してブロックします。潜在的なデータ漏洩を軽減するため、Proactive DLP は、ファイルが媒介するマルウェアの検出、AI を活用した文書分類、機密情報再編集のための光学式文字認識（OCR）の活用など、包括的なセキュリティ対策を採用しています。堅牢なデータ損失防止、アクセス制御、リスク軽減機能により、HIPAAコンプライアンスをサポートします。  

OPSWAT MetaDefender 医療データを安全かつコスト効率よく取り扱うために、医療機関向けにカスタマイズされた包括的な脅威対策を 提供します。MetaDefender Platformは、セキュリティ運用プロセスを簡素化し、容易に拡張でき、次のような深層防御戦略のための市場をリードするテクノロジーを提供します： 

• Deep CDR潜在的に悪意のあるファイルを解除し、安全に使用できるコンテンツを再生成します。
• Multiscanning30以上のAVエンジンにより、既知および未知のマルウェアを検出します。
• Adaptive Sandboxは、動的解析と静的解析によってマルウェアを検出します。
• 原産国は、場所とベンダーに基づいてデータへのアクセスを制限する。