狙われる診療所、サイバー攻撃から守るために必要なこと
コネクティビティ

Your Doctor’s Office Is Vulnerable to Hackers, but Congress Could Change That 狙われる診療所、サイバー攻撃から守るために必要なこと

予算がなく専門家のいない小規模な診療所はサイバー攻撃の被害を受けやすい。意外なことに、米国では医療機関の不正を禁止する2つの法律がセキュリティ対策の障壁になっているという。 by Mike Orcutt2017.06.22

診療所のような小規模の医療施設は、他に類を見ないほどサイバー攻撃に狙われやすい。ネットワーク上に機密情報を抱えていることや、多くの医療施設でサイバー攻撃を防ぐための資金が不足していることが原因だ。診療所を取り巻くサイバー・セキュリティの問題については、医師と病院の間での不正な業務提携を防ぐ2つの法律を議会が改正することで、改善できる可能性がある。

これは米国保健福祉省ヘルスケア産業サイバー・セキュリティ・タスクフォースの最新の報告によって出された提言である。タスクフォースは、民間企業と政府側のサイバー・セキュリティの専門家や担当官21人で結成されたもので、画期的な法律として2015年に制定されたサイバー・セキュリティ法で定められた取り組みの一部だ。

この報告で提言された内容は他にも多々あるが、特に重要なのはいわゆる「医師による紹介法」と「反キックバック法」の改正を検証することだ。これらの法律では、医師が患者の紹介や臨床検査、その他の取引などと引き換えに、病院から金銭などを受け取ることを禁止しており、こうしたやりとりに関してはメディケアやメディケイド(ともにアメリカ合衆国連邦政府の公的医療保険制度)を含む連邦ヘルスケアプログラムで補償されている。タスクフォースによると、多くの病院は、提携先である小規模の医療機関に対してサイバー・セキュリティ用ツールの購入を援助し、提携先の負担を減らしたいと考えているようだが、こういった行為が、先に挙げた2つの法律に違反するのではないかと懸念しているという。

ハッカーが医療施設を攻撃の標的にするのはよくあることだが、その理由は医療施設には有益な情報があることに加えて、歴史的に見てもセキュリティ体制がゆるいことが挙げられる。世界中の医療施設は、5月に発生したワナクライ(WannaCry)のようなランサムウェアの攻撃に狙われている。昨年には、ランサムウェアによる攻撃で、ロサンゼルスにある病院が管理している医療記録システムが機能しなくなり、患者の転院を余儀なくされた(参照“With Hospital Ransomware Infections, the Patients Are at Risk”)。

タスクフォースによると、医療施設のセキュリティ体制がゆるくてサイバー攻撃を受けやすい理由の1つは、規模の小さい施設の多くが自らサイバー・セキュリティの専門家を雇ったり、必要不可欠な技術インフラを管理したりする費用が簡単に捻出できないことだという。タスクフォースは、議会に対して「医師による紹介法」と「反キックバック法」の改正を強く勧めており、病院と規模の小さい業務提携先がサイバー・セキュリティ・テクノロジーをもっと共有しやすくさせることで、セキュリティの脆弱性に関する問題を解決するべきだと主張している。

議会が法改正に踏み切らなければ、保健社会福祉省がこの2つの法律に関する特例を設けられるような、新たな法規制の手続きを進める可能性もある。実際のところ、このようなサイバー攻撃に関する問題の手本となる例はすでに存在している。規制や免責条項により、病院やクリニックから診療所や他の業務提携先に対して、電子健康記録(EHR)テクノロジーを提供することは合法となっているのだ。

こうした例外措置が認められるようになったのは、病院で電子カルテが採用されるようになった2000年代半ばのことだ。病院に患者を紹介していた診療所の多くの医師が、病院と相互運用可能なテクノロジーの購入費用を捻出できなかったことがきっかけだ。マクダーモット・ウィル&エメリー法律事務所でヘルスケアを専門に扱うバーナデット・ブロッコロ弁護士は、現在のサイバー・セキュリティの事例と同じように、病院が診療所に電子カルテのテクノロジーを購入してあげられるようにしたかったという。

法的な問題に触れることなく、病院が診療所に代わってサイバー・セキュリティ・テクノロジーを購入する上での支障を取り除くことで、全体的なリスクは軽減されるだろう。とはいえ、ヘルスケアを取り巻くサイバー・セキュリティの問題を解決する方策の一つに過ぎない。サイバー・セキュリティ・タスクフォースは、ヘルスケアの分野でサイバー・セキュリティを規制している法律の多くについて、「善意に基づくもので、それぞれ効果がある」と報告書に記す一方で、「これらの法律が、医療機関に対して大きな法的負担や技術的負担を押しつけてしまう可能性があります」とも指摘している。