米医療機関からの個人健康情報の流出、5割以上が内部要因：隙が目立つ医療機関

　米ミシガン州立大学は、同大学とジョンズホプキンス大学の最新の調査により、米国で近年に発生した個人健康情報（PHI：Personal Health Information）の流出のうち、医療機関内の問題に起因するものが5割以上を占めることが分かったと発表した。

　「JAMA Internal Medicine」で発表された今回の調査は、米国で健康情報の流出が大規模に発生していることを明らかにした2017年の共同調査をさらに掘り下げたもの。2017年の調査では、患者情報の大規模な流出が7年間に1800回近く発生し、33の病院が重大なデータ侵害に複数回見舞われたことが分かっていた。

　ミシガン州立大学とジョンズホプキンス大学の研究チームは、こうした個人健康情報の流出の原因を詳しく調査した。2009年10月〜2017年12月に発生し、1億6400万人以上の患者に影響した1150件近くの流出事例を調査対象とした。

内部からのハッキングもある

　ジョンズホプキンス大学Carey Business Schoolで准教授を務めるGe Bai氏は次のように説明する。「病院は、何らかのデータ流出が発生するたびに、保健福祉省（HHS）に報告する必要がある。その際、原因が『窃盗』『不正アクセス』『ハッキング／ITインシデント』『紛失』『不適切な処分』『その他』の6カテゴリーのどれに属すると考えているかも、併せて報告しなければならない」

内部要因が過半数を占める個人健康情報の流出　外部要因では、外部者の窃取による流出事例の割合が全体の33％と最も大きかった。上から窃盗（Theft）、不正アクセス、ハッキング／ITインシデント、紛失、不適切な処分。ピンク色が内部要因、黄緑色が外部要因を示す（出典：ミシガン州立大学）

　両大学の研究チームは、詳細報告を調べ、注記を評価し、特定の基準に基づいて流出事例の再分類を行った。その結果、流出の53％が、医療機関の内部要因に起因することを明らかにした。

　ミシガン州立大学Eli Broad College of Businessでaccounting and information systemsの准教授を務めるXuefeng Jiang氏によると、流出事例全体の25％は、内部関係者の不正アクセスや漏えいに起因していた。これは、外部からのハッキングに起因した事例の割合（12％）の約2倍に上る。

　具体的には次のような内部関係者の行動が流出を引き起こした。

　個人健康情報の自宅への持ち出しや、個人アカウントやデバイスへの情報転送、無許可のデータアクセス、電子メールの送信ミス（誤った宛先への送信、BCCにすべきメールのCC送信、暗号化されていない内容の共有など）といった行動だ。

医療機関にもセキュリティ施策とポリシーが必要

　これらの行動にはありがちなものもある。だが、一見悪気のないミスが、患者の個人データ流出に発展することもある。

　「病院や医院、保険会社、小規模な診療所、さらには薬局で、こうしたミスが起こり、患者を危険にさらしている」とJiang氏は述べている。

　Jiang氏とBai氏の提言はこうだ。「ソフトウェアとハードウェアの両面で厳重なセキュリティ対策を行えば、窃取やハッキングの防止に役立つ。さらに医療機関は、一連のシンプルな手続きに従うことで業務プロセスを強化し、内部者に起因する個人健康情報の流出を防ぐことができる、内部ポリシーや手順を採用すべきだ」

　例えば、デジタル医療記録への移行や、安全なストレージの利用、電信メール送信先の確認の強制、情報の暗号化などが推奨されている。

　ミシガン州立大学とジョンズホプキンス大学の研究チームは今後、外部からハッキングされるデータがどのような種類のものなのかを詳しく分析し、サイバー犯罪者が患者データから、具体的に何を盗もうとしているかを突き止める計画だ。