文字サイズ

第5回
タブレットを医療現場に持ち込むリスク

タブレットの導入をはじめ、ITを活かした医療において一歩先行く米国の医療業界。
昨今大きな問題となっているセキュリティ・リスクに対して、どのように向き合ってきたのだろうか?

  • 米DELLの説くところによると、ニューヨークの医療業界のスタッフたちがタブレットを病院やクリニックに導入するにあたって重要だと考える項目は3つあるという。

    1つめは管理しやすいかどうか。2つめが、導入や管理、運用などにかかってくる諸費用。

    そして3つめが、セキュリティの問題だ。

    タブレットは使いたい、けれどもちゃんと使えるのかどうか、コストはどのぐらいかかるのか、そして果たして、しっかりと情報は守っていけるのか―。この3つの課題は、タブレットの導入を考えている日本の医療業界の方々にとっても、大きな懸念材料となっているのではないだろうか。

    今回はその中でも最重要課題と考えられる「タブレット導入のセキュリティリスク」について考えてみよう。

  • 米国で頻発するデータ流出問題

    米国では諸外国に先んじて、多くの医療機関で先進的な情報機器を導入してきた。一方で、データへの不正アクセスに関する事件も数多い。

    2013年3月15日には、南マイアミ病院にて患者データ834人分が盗まれた、という報道があった。この時にはそのデータを利用して税金還付を行ったとして逮捕者が2名出ている。

    2013年5月28日のニュースは、ソノマ渓谷病院で1350件の手術対象患者のデータが盗まれていたことを伝えている。対象のデータは2011年7月11日から2012年6月30日までのもので、患者の名前から手術日、手術内容、担当外科医名、支払った料金、保険会社の名前が流出したという。

    こうしたニュースは米国では珍しいものではなく、どの病院でどの程度の規模の不正アクセスがあったか、月1回以上の頻度で報道されている。

    詳細な個人情報を抱える病院でこのようなデータ盗難が発生した場合、病院の信用は大きく揺らいでしまう。最悪の場合利用者が激減し、経営圧迫に繋がることも考えられる。病院はより効率的に莫大なデータを管理したい、しかしリスクは避けたいという、板挟みの状態なのである。

  • 遅々として進まない、セキュリティへの取り組み

    実は米国の各医療機関は、情報管理について、あるいはその利便性が引き起こすセキュリティリスクについて古くから大きな注意を払ってきたわけではなかった。

    「携帯機器の爆発的な利用の増加は、医療機関にも大きな変化をもたらしました。たとえば電子カルテを取り入れることで、大量のデータを管理することができるようになったのです。

    ところが、医療機関で取り扱っている個人データが、ハッカーにとっては格好の標的となったにも関わらず、病院側はなかなかセキュリティを強化しませんでした」

    上の台詞はDELLのCMOである、Andrew Litt氏によるものだ。なぜ病院側はこれまでセキュリティの強化を怠ってきたのだろうか?

    その理由のひとつは、医師たちに「患者のデータを守る」という意識が低いことにあるという。1996年に医療関係者が守るべきルールとして、機密性の高い医療情報を漏洩しないための法律である「HIPAA」(医療保険の相互運用性と説明責任に関する法律)が定められたが、なかなかこうしたポリシーが遵守されないでいるのが現状だ。

    また、医療情報や患者さんに関する重要な情報を扱う機器が1点や2点に留まらないことも、思うような情報保護対策が進まない要因となっている。

    多くの病院では、情報システム、クラウドサーバ、医療機器、そしてPCや携帯端末など、多種多様な設備や機器の中に重要な情報が入っている。病院内のすべての情報を保護するためには、これら全ての機器でセキュリティ対策を講じなければならないのだ。

    情報セキュリティ会社ImprivataのCEOであるOmar Hussain氏はこう語る。

    「機密情報の保護は、例えば銀行であれば話は簡単だ。アクセスの権利のない人は弾いてしまえばそれでOKなんだからね。

    けれども、こと医療業界となると話が違う。お金を支払う人、患者さん、看護師、それぞれ何かしらの機器にアクセスする権利を持ってるんだから。利用する人を見極めて、余計な情報を漏らすことなく伝えるべき情報だけを取り出してくれるようなシステムを構築するのはとても難しいことなんだよ」

    院内システムの構築や維持、治療器具として長らくさまざまな機器を扱ってきたこと、医師や看護師、患者さんといった異なる人たちがそれぞれ異なる機器を利用してきたことに、包括的なセキュリティ管理を難しくさせている原因があるようだ。

    この問題を更に複雑化させているのが、BYODだ。BYODとは、従業員が個人所有の携帯機器を職場に持ち込み、それを業務に利用することを指す。

    (出典:Harris Poll of U.S.adults

    スロバキアのESET社が米Harris Interactive社に依頼して実施したBYODの調査によると、企業・組織に勤めている1300人の米国成人のうち、81%が個人所有のPCやスマートデバイスなどを仕事に使う事があるという。

    BYOD利用は従業員が慣れ親しんだ機器で仕事を行えるため、生産性を向上させるメリットがある他、企業が高額な情報機器を従業員に提供する必要がなくなるため、経費削減の効果も高いと言われている。

    しかし、BYODにはセキュリティ面において大きなデメリットがあることも広く知られている。

    例えば上の調査によると、ノートパソコンを仕事目的で使う人のうち31%はハッキングの可能性の高い公衆無線LANを利用している。46%は仕事に使う端末を家族や友達にも使わせていたという。

    37%は自動ロック機能を使っておらず、また端末に入っている企業データについても、3分の1は暗号化を行っていなかった。さらに66%は業務目的で私物端末を使用しているにも関わらず、自社に「BYODに関するポリシー」が規定されていないかったという。

    企業、あるいは病院の管理の外にあるBYODは、情報を漏洩するような環境下にさらされる危険性が極めて高い。守るべき情報を多く扱う病院においては、できるかぎりBYODは認めない方針を取るか、あるいは遵守すべきポリシーを事前に定めておきたいところだ。

  • タブレットを導入する際に遵守すべきポリシーとは?

    それでは病院内でタブレットを利用するリスクする際、どのようなポリシーを設けておくべきなのだろうか。

    米Coalfire Systems社のKerry Shackelford(シャックルフォード)氏は、医療機関の現場でタブレットを利用する際に遵守すべき事柄として以下のような項目を挙げている。

    まずは個人認証を設定しておくこと。

    タブレットの使用時にはユーザーIDとパスワードの入力を課すことで、認められていないユーザーが使えないようにする。特にタブレットで患者さんのデータを扱うのであれば、この設定は必須と言えるだろう。

    つづいて、運用のルールを設けてスタッフに遵守させること。

    すべてのタブレットはマルウェアやスパイウェアなど悪意のあるソフトウェアから保護するためのウイルス対策のプログラムを持っている必要がある。セキュリティを保持してくれるアップデートは定期的に行っておきたい。

    また、同氏は医療スタッフがタブレットを所持するにあたって、スタッフが自身の機器に「jail breaking」(脱獄)を施すことを危惧している。

    (脱獄をほどこしたiPhoneの例)

    通常、iPhoneはウィルスなどに感染しないようにするために、Appleの審査に通ったアプリ以外は入手できないようになっている。しかし脱獄することでそうした制限を解除し、「画面をより自分の好きなデザインに変更できる」「ワンタッチでWi-Fiのオンオフの切り替えができる」などの、利便性の高いアプリを使うことができるようになる。

    しかし、この行為には機器が動作しなくなるリスクが伴うほか、ウイルス感染の危険性もはねあがる。Appleはこうした脱獄行為を認めておらず、トラブルがあったとしてもサポートを受けることはできない。

    Android端末でのインターネットからダウンロードできるような無料アプリや格安のアプリの入手も危険な行為だ。これらの非公認アプリは、マルウェアであったり、タブレットの動作に異常をきたす可能性が高い。

    タブレットを病院で運用していく際には、必要のない機能やアプリは極限削除し、機能やアプリの制限を徹底することが求められる。これらのポリシーを事前に明記し、ひとりひとりのスタッフに遵守させる必要があるだろう。

    また、タブレットそのもののみでなく、接続するネットワークにファイアウォールを設置したり、データを暗号化することも、情報を保持していく上で押さえておきたいポイントのひとつだ。

  • 情報を保護するために守っていくべきこと

    DELL社のAndrew Litt氏は、ポリシーの重要性についてこう語っている。

    「医療機関の職員はセキュリティの確立された場所で業務に当たらなければなりません。病院は患者の個人情報を安全でない方法や、SMS、クラウドサービスで持ち出せないポリシーを採用しているでしょうが、ポリシーが守られていなければ意味がないのです」

    情報を扱う上で、セキュリティに関する問題はこれから先も大きな問題として立ちはだかるだろう。今回はセキュリティを維持する上でもっとも基本的なポリシーについて述べたが、より高いセキュリティを持つ環境を病院に構築できるように、このテーマについては度々取り上げていく予定だ。

 
本コンテンツを知人に勧める可能性は、どのくらいありますか?