ヘルスケア関連組織、海外では2割が「データを暗号化していない」

偶発的なものなのか、サイバー攻撃の結果なのか、健康に関する情報漏えいが続いている。こうした状況を踏まえ、Sophosがブログでヘルスケア組織の安全対策についてアドバイスしている。

米国では、保護すべき健康状態に関する情報(PHI)の機密性を保護することを目的とした規制「Health Insurance Portability and Accountability Act(HIPPA)」がある。HIPAAは2009年にHealth Information Technology for Economic and Clinical Health Act(HITECH)の下、PHIの侵害が発生した際の情報開示に関連した罰則にフォーカスしたアップデートが行われている。

PHI侵害の結果は、関連する組織にとって深刻なものとなる。データを暗号化していなかった場合、侵害が発生した組織は関連する個人すべてにその旨を通知する義務があり、100万ドルを超える罰金を科される可能性もある。

○データ損失の防御策としての暗号化

データの安全性が弱い状態は、患者のアイデンティティとデータプライバシーをリスクににさらしてしまう。データを暗号化することは、リスクの緩和にとって効果的であり重要な方法となる。だがSophosの調査からは、組織や企業の多くは暗号化を十分に利用しているとは言えない状態であることがわかった。

ヘルスケア組織のうち暗号化を十分に利用しているという組織は31%にとどまり、時々利用しているという組織は49%、まったく利用していないという組織は20%もあった。

データ損失への防御として暗号化は最後の砦となる。不正なアクセスが発生したとしてもデータが読まれることはない。完全なセキュリティ戦略とは、機密データの暗号化を行い、サイバー脅威を予防し、そしてユーザーとすべてのデバイスを安全にすることだと、ソフォスは指摘している。