半数以上の医療機関・企業で患者データが保護されていない実態が 最新調査で明らかに

医療業界に警鐘 － Ponemon Institute社、最新調査レポート
「Health Data at Risk in Development: A Call for Data Masking」を公開

米国カリフォルニア州レッドウッド シティ発 － 2011年2月1日
・ 医療分野のITプロフェッショナルに対する最新調査の結果、医療機関・企業
において機密性が求められる患者の医療記録が情報漏えいや紛失から適切
に保護されていないという実態が明らかになりました。
・ ほとんどの現場でデータが保護されていない
機密性が求められるデータであるにも関わらず、今回の調査に対し、ソフトウェア
の開発およびテストで使用している患者のデータを保護していないと回答した
割合は51%に上ります。
・ データの盗難や紛失に気付かない
開発やテスト時に実際のデータの盗難や偶発的な紛失があった場合、そのこと
自体に気付くかどうかという問いに対し、自信がない、または分からないと回答
した割合は78%に上ります。
・ 一般的にある違反行為
開発環境やテスト環境でデータに関する違反行為があったと回答した割合は38%、
また違反行為の有無自体が不明であると回答した割合は12%に上ります。
・ 違反行為が引き起こす影響
違反行為があったと回答した対象のうち59%が業務の中断を経験し、56%が法的
措置に直面し、36%は評判が落ちたと回答しています。

これらの調査結果は、本日 Ponemon Institute 社が公開した最新レポート
「Health Data at Risk in Development: A Call for Data Masking*1」（開発に
おける医療データのリスク: データ マスキングの必要性）に記載されています。
本調査は、データインテグレーションソリューションにおける独立系リーディング
プロバイダーInformatica Corporation（本社: 米国カリフォルニア州レッドウッド
シティ、NASDAQ: INFA、以下「インフォマティカ」）が後援し作成されました。

医療分野のアプリケーション開発とテスト環境には、広く実際の患者データが
使われているという現状を検証した同レポートでは、米HIPAA
（Health Insurance Portability and Accountability Act）などの規制に対する
医療機関のコンプライアンス違反に伴うリスクを詳細に説明しています。また、
この調査レポートは、ライブデータのマスキングとセキュリティ管理というデータ
保護に不可欠なプロセスを含むリスク軽減のためのガイドラインも提供して
います。

米国医療機関の450名以上のITプロフェッショナルを対象に実施されたこの
調査では、他にも次のことが明らかになりました。

・アウトソーシングとクラウドコンピューティングはセキュリティリスクを高める：
開発およびテストのアウトソーシングやクラウドコンピューティング リソースは
リスクを高める要因であることから医療機関は、様々なメリットをもたらす可能
性のあるこれらのサービスの利用を躊躇しています。セキュリティの観点から
アウトソースをしていないと回答した割合は40%であり、クラウド環境の
セキュリティを信頼しているまたは大変信頼していると回答した割合も19%
に過ぎません。

・ 医療業界におけるデータ保護への期待の低下：
開発およびテスト環境で実際のデータを保護することは重要であるとしながら、
実際にデータを保護できているかどうかという問いに対して、大多数が分から
ない、または適切に保護できているとは思わないと回答しています。調査では、
74%が医療サービス業界でプライバシーとデータ保護の要件を満たす重要性を
認識している一方、この目標を達成できていると回答した割合は35%に留まって
います。

・ 開発およびテスト環境で患者のプライバシーを保護できていると回答した割合
が35%に過ぎない現状に対し、Ponemon Institute 社は速やかに実行すべき
対策として次のことを提案しています。
-　エグゼクティブ レベルの責任者による一元管理－ 非本番環境における
実際のデータの安全を確保するポリシーおよび手順と共に、エグゼクティブ
レベルの管理責任者を1名置くこと。
-　データマスキング－「開発やテストで必要なデータの特性を損なうことなく
機密性を要するデータを変換またはマスキング」するツールなど、適切な
テクノロジに投資すること。

・ データマスキングは、PHI（Protected Health Information: 保護対象保健
情報）やPHR（Personal Health Records: 個人保健記録）などプライバシーに
属するデータや機密性が求められるデータを伝送中または利用サイトでマス
キングすることにより、これらのデータの安全を確保します。その結果、開発、
テスト、トレーニングなどの非本番環境で、目的に合わせて完全に機能する
現実的なデータセットを安全に利用できるようになります。こうした環境を社内
で実行するのか、またはオフショアやアウトソースで行うのかを問わず、悪意
の攻撃や不注意によるデータ漏れ、またHITECH Act（Health Information
Technology for Economic and Clinical Health Act）や他の法規に抵触する
リスクを回避することができます。

・ インフォマティカが提供する Informatica Data Masking*2は、機密性を
要するデータを発見し、系統立ったプロセスによってこれらのデータから個人が
識別されることを防ぐソリューションです。このソリューションでは元のデータを
分かりにくくするアルゴリズムを適用しながら元の形式とプロパティはそのまま
保持されるので、開発環境やテスト環境のアプリケーションは、これらのデータ
の特性を完全に活かした状態で適切に機能できます。

*1：Health Data at Risk in Development: A Call for Data Maskingレポートはこ
ちらよりダウンロードいただけます。（英語のみ）
リンク

*2： Informatica Data Masking*に関する詳細は、こちらよりご覧いただけます。
リンク


インフォマティカ社について
Informatica Corporation (NASDAQ: INFA) はデータ インテグレーション ソフト
ウェアおよびサービスにおける世界No.1独立系プロバイダーの1社です。今日のグ
ローバルなインフォメーション エコノミー（情報経済）環境において、世界中の企
業がタイムリーで信頼できる最適なデータによって、最も重要なビジネスニーズを満
たし競合優位性を手にしています。 現在、インフォマティカのソリューションは世
界4,280社を超える企業において、企業内やクラウド等の企業外に保有する既存情報
資産へのアクセスや統合の実現に活用されています。 インフォマティカに関する詳
細はインフォマティカ・ジャパン株式会社（代表 03-5229-7211）までお問い合わせ
いただくか、弊社 Web サイトリンク をご覧ください。