多作のアメリカの銀行強盗ウィリー・サットンは、40 年間の犯罪歴で銀行から推定 200 万ドルを盗みました。これは 20 世紀初頭としては驚くべき金額です。なぜこれほど多くの金融機関を強盗したのか記者に尋ねられたとき、彼はこう答えた。「そこにお金があるからです。」

この悪名高いセリフはその後、医学生の訓練に広く使用される用語であるサットンの法則として知られるものに変わりました。これは、他の可能性に進む前に、病気の患者にとって最も明白な診断を検討する必要があることを意味します。しかしハッカーにとって、サットンの法則は皮肉なことに、病院、保険会社、その他の医療機関からの患者情報、つまり患者の医療情報は非常に貴重なものを標的にするまさにその理由と結びついています。 

闇市場では、電子医療記録がクレジット カードよりも高い価格で販売されています。ロイターの 2014 年 9 月のレポートによると、盗まれた健康認証情報は 1 枚あたり約 10 ドルで販売されており、これはクレジット カード番号の 10 ～ 20 倍の価値があります。

「悪者は、医療記録に含まれる個人情報がクレジット カードを盗むよりもはるかに優れていることを知っています」と、企業にネットワーク保護サービスを提供する Triumfant の社長兼 CEO である John Prisco 氏は言います。 「医療記録の問題は、記録がほぼ不滅であるのに対し、クレジット カードの有効期間は報告または閉鎖されるまで 1 日、場合によっては数時間であることです。」 

患者の医療記録に含まれる情報には、医療の詳細に加えて、社会保障番号、住所、生年月日が含まれます。 「以前の住所は変更できません。誕生日も変更できません。生まれた場所も変更できません。これらすべてのことは、一生にわたってつきまといます」とプリスコ氏は説明します。 「誰かがローンを組もうとし、そのためにあなたの信用を利用した場合、たとえあなたではないとしても、彼らはあなたであることを証明する多くの情報を持っています。」 

患者情報を保護する計画は、サイバー攻撃、規制順守、相互運用性など、数多くの課題に直面しています。

サイバー攻撃

医療業界におけるサイバー侵害はますます一般的になっています。シマンテックの調査によると、2013 年から 2014 年にかけて、ヘルスケア企業に対するサイバー攻撃は 72% 増加しました。  

おそらく、攻撃の頻度よりもさらに驚くべきことは、影響を受けた人々の膨大な数です。 2015 年の初め、医療保険会社アンセム社は、同社のデータベースが攻撃により侵入され、約 8,000 万人の個人情報が侵害されたと発表しました。このことは、2014 年末にコミュニティ ヘルス システムが 450 万件の患者記録の侵害に見舞われた最近の別のハッキングに影を落としました。

サイバーセキュリティ ソリューション会社 Bay Dynamics の CEO 兼創設者である Feris Rifai 氏は、医療機関は患者にとって電子医療記録へのアクセスをより便利にしてきましたが、その結果、攻撃対象領域が増大したと付け加えました。 「現代の時代にビジネスを行うために患者向けのポータルを作成することで、患者は脅威にさらされ、確実にリスクを負いやすくなります。」

医療企業も、古いシステムを使用していたり、記録を最新に保っていないことに悩まされていると、NSS Labs の研究担当副社長のマイク・スパンバウアー氏は指摘しています。たとえば、Anthem 侵害では、2004 年まで遡る患者の記録が侵害されました。 「記録システムやその他のアプリケーションは、エンタープライズや生産性を重視した一部のプラットフォームほど最新ではありません。つまり、それらは古いライブラリに書かれているため、攻撃を受けやすい可能性があります」と彼は指摘します。 「医療業界は歴史的に、IT やシステムの最新化にそれほど積極的に投資してきませんでした。」 

IT システムを移行する必要があるため、ヘルスケア企業の間ではよくある合併と買収が別の障害を生み出すと、Spanbauer 氏は言います。 「複数のタイプのファイアウォールや異なるシステムがある場合、課題はさらに増大します。」

コンプライアンス

患者情報を保護するために定められた法律を遵守しているだけでは、企業の IT システムが安全であるとは限りません、と Rifai 氏は指摘します。米国保健福祉省によると、1996 年の医療保険の相互運用性と説明責任法 (HIPAA) は患者のプライバシーに関する基準であり、「保護対象の医療情報 (PHI) のプライバシーを保護するために、対象となる組織が適切な管理的、技術的、物理的保護手段を適用することを義務付けています」と米国保健福祉省は述べています。しかし、これは単なるガイドラインであり、特に従業員のトレーニングにおいては追加の措置を講じる必要があります。 「チェックボックスをオンにしてコンプライアンスを遵守し、正しいことを行う方法はありますが、組織全体の可視性が必要です」と Rifai 氏は言い、最初に注目すべきは従業員の行動であると付け加えました。 

今年 1 月の Anthem 侵害では、ハッカーがデータベース管理者の資格情報を取得し、組織のネットワークにアクセスしました。その後、ハッカーは時間をかけてゆっくりと患者情報を漏洩したため、データベース管理者のマシンでは特に憂慮すべきイベントは発生しませんでした。このような侵害を防ぐために、異常検出ソフトウェアは従業員の通常の行動を時間の経過とともに学習し、何か異常なことがあれば警告を発することができる、と Rifai 氏は述べています。  

エンド ユーザーに対するデスクトップ レベルでのトレーニングは、攻撃を防ぐためのパズルの重要なピースである、と彼は付け加えました。最も効果的な方法の 1 つは、スピア フィッシングメールなどのソーシャル エンジニアリング キャンペーンを見分ける方法を従業員に教えることです。これらのメッセージは正規のユーザーから送信されたかのように偽装されていますが、クリックするとマルウェアをダウンロードしたり、攻撃者がネットワークに侵入するための足がかりとして機能したりする可能性があります。 

「コンプライアンスを遵守するためだけにやっている場合、おそらく年に 2 回のトレーニングでは、誰かが違反を犯したときと同じ影響はありません」と Rifai 氏は述べています。 「その場で彼らを教育し、こんなことはあってはならないことを知らせ、デスクトップに伝えます。」 (従業員向けのサイバーセキュリティ トレーニングの詳細については、『Security Management』9 月号の「Teach a Man to Phish」を参照してください。)

ヘルスケア企業のセキュリティ管理者への資金提供も問題だとプリスコ氏は指摘し、経営幹部の賛同を得ることが重要だと強調する。 「これは企業にとってのコストであり、プロフィットセンターではありません。そのため、多くの企業からは、『100万ドルの負債を守るのであれば、それを守るために1,000万ドルも費やすつもりはない』という態度が見られます。したがって、意思決定者のセキュリティに対する考え方を大幅に変える必要があります。」 

セキュリティ部門は、企業の評判にお金の価値を置くことはできない、または企業幹部が責任を過小評価していると強調することで、このような議論に反論することができる。 「100万ドル規模の負債が、より大きく、より永続的なものに成長する可能性があることに気づきつつあります」とプリスコ氏は指摘する。 「（サイバーイベントには）実際に目に見えて測定可能な影響があり、経営幹部は、これらが自分たちが保護している責任よりもはるかに大きくなる可能性があることを理解する必要があると思います。」 

リファイ氏は、彼が協力している医療関連企業は自社が標的であることを認識しており、分析や異常監視などの高度なツールを活用して永久的な損害が発生する前に脅威を発見するなど、セキュリティ強化に向けた重要な措置を講じていると付け加えた。 「自分がターゲットにならないことを願う日々は終わりました。それについては何かをしなければなりません」と彼は言います。 「医療業界では、まさにその通りだという認識が広く広まっていると思います。」 

相互運用性

医療記録のデジタル化への移行は、犯罪者が機密の個人情報にさらに簡単にアクセスできることを意味します。しかし専門家らは、その情報のデジタル化は患者と医療従事者の双方にとって大きな利益にもつながっていると述べている。   

Spanbauer 氏は、紙ベースの記録をデジタル記録に移行する際に医療機関が直面する課題を指摘していますが、その利点についても言及しています。 「プロバイダー間で何らかの共通記録システムを確立し、それを銀行システムと同じくらい安全に実行しようとすると、これはかなりの IT 上の課題になります」と彼は言います。 「危険にさらされているものはたくさんありますが、正しく行えば得られるものもたくさんあります。」

まず、電子記録の相互運用性が向上すれば、必然的に災害時の救急医療の向上につながるだろうと、州の軍事防衛部隊であるニューヨーク警備隊の最高情報責任者バリー・グリーン氏は言う。グリーン氏は、ハイチ地震、ハリケーン カトリーナ、ハリケーン サンディなどの災害時に医療提供者に IT サービスを提供することに取り組んできました。 

「電子医療記録の相互運用性はまだ初期段階にあります」と Greene 氏は述べています。 「ほとんどの機関や団体は依然としてサイロ化されています。つまり、地元の病院は、必ずしも医療記録を 1 ブロック下の歯科医院と共有しているわけではありません。歯科医院は、1 マイル南にあるプライマリケア提供者と医療記録を共有していません。」 

国家データベース。現在、米国の医療記録のデータベースは存在しませんが、その現実はこれまで以上に近づいている可能性があります。現在利用可能な患者の病歴の最大のデータベースは、Surescripts によってホストされています。同社は最近、2015 年 5 月に大手電子医療記録ベンダー 3 社を買収し、電子医療記録の分野に参入しました。Greene 氏は、同社の National Record Locator Service は米国の患者記録の今後のモデルとして機能し、ニューヨーク州警備隊が訓練シナリオでそれを使用したと述べています。 

「現在、私たちが訓練しているいくつかの状況では、すでに Surescripts の全国データ リポジトリから患者の処方履歴を引き出すことができます。これにより、薬を必要とする患者が配送センター (POD と呼ばれる場所) から薬を確実に入手できるようにするプロセスが迅速化されます。」と彼は言います。   

グリーン氏は、誰にどの薬が投与されたかを追跡することで、災害時に闇市場取引が発生するのを防ぐことができると付け加えました。闇市場では、ある人が処方薬を入手して違法に販売するために別の POD を回ってしまいます。 

米国退役軍人省 (VA) と米軍は、HealtheForces と呼ばれる包括的な患者検索を行っています。そのウェブサイトによると、5,700万ドル以上の投資を誇るこのクラウドベースのツールは、米国史上最大の健康情報データ交換および電子健康記録プラットフォームである。グリーン氏は、これが今後の国家のモデルとなる可能性があると指摘する。 「私が見てきた限り、国家として私たちが採ることのできる最も費用対効果の高い道は、軍の医療システムと退役軍人庁にこの国家記録能力の多くのバックボーンを構築させることだろう」と彼は言う。 「そして、バックボーンが正式に設置されると、誰もがそれに相互接続します。それを電車の線路と考えてください。これで、他の誰もが自分の電車を線路に乗せることができます。」 

連邦政府のロードマップ。 連邦レベルでは、電子医療記録のワンストップショップを構築する取り組みが行われています。国家医療情報技術調整官局（ONC）は昨年1月、電子医療記録を含む医療ITインフラの相互運用性を提案する文書草案を発表した。 ONC の Web サイトによると、草案の最初のバージョンである「国民のための医療とケアの接続: 全国共有の相互運用性ロードマップ」では、「相互運用可能な医療 IT エコシステムの実現を支援するために必要な、さまざまな利害関係者グループの重要な行動が概説されています」。このロードマップでは、電子記録を収集、保存、共有する方法が提案されています。 

当局は2015年2月から5月にかけて、利害関係者に懸念や提案を提出してもらうためのパブリックコメント期間を開催したが、数人は国有化された制度が何を意味するかについて懸念を表明した。たとえば、米国医師外科医協会 (AAPS) は、「相互運用性ロードマップが最終的に診療所の経費に与える影響について深刻な懸念がある」と述べています。声明は、「概して、電子医療記録はコストを大幅に増加させ、プライバシーを低下させ、一部の壊滅的な医療ミスを引き起こしている」と述べた。 

AAPS は続けて、「電子医療記録にはエラーが多く、相互運用性という目標の価値が疑わしいもの、あるいは有害ですらあります。エラーの繰り返しや依存は患者ケアに有害です。」と述べました。 

他の組織は、ONC が提案した 10 年にわたる計画よりも相互運用性へのより効率的な移行を望んでいます。 「学習型医療システムの 10 年計画が長すぎて、米国の医療の相互運用性が他のほとんどの業界や国に後れをとってしまうことを懸念しています」とインテル コーポレーションの消費者ヘルスケア、健康、ライフ サイエンス担当ゼネラル マネージャーのマイケル ジャクソン氏は述べています。

ONC のロードマップに懸念を抱いているもう 1 つの擁護団体は、健康自由市民評議会 (CCHF) です。 CCHF の社長兼共同創設者である Twila Brase 氏は、CCHF が米国全員の電子医療記録を統合すると、個別の患者ケアが妨げられると考えているとセキュリティ管理部門に語った。 「すべての私的な医療データ（メンタルヘルスデータ、ライフスタイルデータ、遺伝データ、医師へのコメントなども含む）を保管する国家システムを構築するということは、医師と患者の機密関係を侵害したことになります。医師のオフィスを恐ろしい場所にしてしまったのです。」 

Brase 氏は、HIPAA は実際に患者情報の共有を規定しており、州法に別段の定めがない限り、「知る必要がある」医療機関はその情報を自由に共有できることを意味していると指摘しています。法律によれば、「医療提供者は、患者のケアや治療費の支払いについて、関係者が知る必要がある情報のみを共有したり話し合ったりすることができる」とされています。 

ブレイスは、そのような言葉は危険なほど曖昧だと述べています。 「『知りたい』と思っている人はどれだけいるでしょうか。また、『知りたい』と思っている人たちがすべて自分の医療記録全体にアクセスできることに、患者は満足するでしょうか。」

国の取り組み。 州レベルでは、患者の医療情報の一元化に向けてある程度の進展が見られました。医療提供者が完全な患者情報、または少なくともその患者を治療した人のリストにアクセスできる、連絡先となるマスター患者検索を作成しているところもあります。例えば、ニューヨーク州は、メディケイド監察総局が運営する医療提供システム改革奨励金プログラムを通じて、民間および公的医療会社に医療情報を集約するよう奨励することで進歩を遂げた。 

緊急治療。 患者データの共有はプライバシーの問題を引き起こしますが、緊急時には患者の命を救うことが最優先事項であるとグリーン氏は言います。ハリケーン・カトリーナやサンディなどの災害状況では、医療従事者は患者の医療記録を扱う際に州法を遵守しなければならないと同氏は指摘する。 

しかし、必要に応じてこれらのルールを回避する方法があります。一部の州では、いわゆる「ガラス破り」手順を採用しており、これは災害時に医療従事者が一時的に患者記録にアクセスできることを意味します。また、「オプトイン」または「オプトアウト」手順を含む、患者のプライバシーに関して州ごとに異なる規則もあります。オプトインを使用すると、患者は、たとえば自分の医療記録を別の組織と共有する許可を診療所に与える必要があります。オプトアウトの状況では、特に明記されていない限り、患者記録を他の医療提供者と共有しても問題ないと想定されます。 

災害時には、患者情報を表示するだけでなく編集できる機能が重要であるとグリーン氏は付け加えました。 「中央リポジトリから情報を引き出すだけでなく、新しい情報を元に戻す方法も必要です」と Greene 氏は言います。 「図書館の本を一度下ろして、数ページ追加して返却するようなものです。なぜなら、それは個々の患者の情報だからです。そして、それは本当に困難です。」