ヘルスケア関連組織、海外では2割が「データを暗号化していない」

偶発的なものなのか、サイバー攻撃の結果なのか、健康に関する情報漏えいが続いている。こうした状況を踏まえ、Sophosがブログでヘルスケア組織の安全対策についてアドバイスしている。

米国では、保護すべき健康状態に関する情報(PHI)の機密性を保護することを目的とした規制「Health Insurance Portability and Accountability Act(HIPPA)」がある。HIPAAは2009年にHealth Information Technology for Economic and Clinical Health Act(HITECH)の下、PHIの侵害が発生した際の情報開示に関連した罰則にフォーカスしたアップデートが行われている。

PHI侵害の結果は、関連する組織にとって深刻なものとなる。データを暗号化していなかった場合、侵害が発生した組織は関連する個人すべてにその旨を通知する義務があり、100万ドルを超える罰金を科される可能性もある。

○データ損失の防御策としての暗号化

データの安全性が弱い状態は、患者のアイデンティティとデータプライバシーをリスクににさらしてしまう。