logo

「Verizon 2015 Protected Health Information Data Breach Report」、調査対象となった業界の9割で患者データが漏洩

米国発:ベライゾンが発表した医療情報データの漏洩/侵害の分析レポート「Verizon 2015 Protected Health Information Data Breach Report(医療情報データ漏洩/侵害レポート)」によると、医療情報が盗まれるという問題はこれまで考えられていた以上に蔓延しており、調査の対象となった20のうち、18の業界で影響が生じていることが判明しました。しかも医療分野以外では、このような種類のデータを保持していることさえほとんど認識されていません。このような医療情報は一般的には従業員に関する情報(従業員の補償請求を含む)やウェルネスプログラムなどの情報とされており、十分に保護されているとはいえません。

これらの調査結果は、ベライゾンのデータ漏洩/侵害調査報告書(DBIR/Data Breach Investigations Report)の25カ国の3億9,200万件以上の記録と、1,931件のインシデントに関連する確認済みの医療情報の侵害について詳細な分析を行ったチームが初めて作成したレポートからの抜粋で、日本からの情報も含まれています。

ベライゾンのシニアアナリスト兼Verizon Enterprise Solutionsレポートの主執筆者であるスザンヌ・ウィダップ(Suzanne Widup)は、次のように述べています。「多くの組織において、医療情報のように極めて機密性の高いデータが十分に保護されていません。これは個人とその家族に影響を与え、政府、組織、個人の医療コストを上昇させる原因となる重大な結果につながる可能性があります。」

レポートで取り上げられている最近の調査によれば、人々はデータ侵害を恐れるあまり、場合によっては重要な情報を医療提供者に提供していないということが分かっています。

「患者は自分の医療情報について医療機関を信頼しており、信頼が失われた場合、その影響は非常に大きいことを医療機関は認識する必要があります」とウィダップは述べています。
 例えば、情報をすべて伝えることをためらうことで、感染症の診断の遅れを招く可能性があると調査は指摘しています。これは、その病気が社会的に不名誉につながる場合、特に顕著です。

医療情報(PHI)データ漏洩/侵害とその他のデータ漏洩/侵害との違い
医療情報(PHI)データ漏洩/侵害は、多くの点でこれまでのデータ漏洩/侵害調査報告書(DBIR)のデータとは大きく異なります。まず違うのは、攻撃の実行者です。医療情報(PHI)データ漏洩/侵害では、外部実行者と内部実行者の数に5パーセントの違いしかありません。つまり、内部関係者による悪用が多く存在することを意味します。
レポートによると、医療記録データは悪意を持って扱われることが少なからずあり、多くの場合、攻撃者の本当の狙いは、金融犯罪や税金詐欺を容易に実行することを目的に、クレジットカード番号や社会保障番号などの個人識別情報を得ることです。
データ漏洩/侵害方法の違いも顕著です。攻撃のきっかけとなる手口として最も多いのは、紛失したポータブルデバイス(ノートPC、タブレット、USBメモリー)の盗難です。次に多いのは、単純な医療記録の誤送信や、ノートPCの紛失などのミスがあげられます。最後は情報へのアクセス権を乱用する従業員などによる悪用です。この3つの手口で、医療情報(PHI)データの全侵害の86パーセントを占めています。
さらに、データ漏洩/侵害の検知までに、ほとんどの場合は数か月から、場合によっては数年間かかっています。検知までに数年を要するインシデントは、LANのアクセス権を乱用する内部関係者によって実行される割合が高く、サーバー、特にデータベースを標的とした攻撃の2倍に及びます。

医療情報(PHI)データ漏洩/侵害への対策
詳細な医療記録を手に入れることで、犯罪者は個人情報の窃取と医療請求詐欺の両方を実施することが容易になりますが、その一方でメディアと業界の研究者は個人情報の紛失を取り上げており、この問題により多くの関心を払う必要があると呼び掛け続けています。
残念ながら2009年以降、米国の人口の約半分が医療情報(PHI)データ漏洩/侵害による影響を受けているとレポートは指摘しています。さらに2015年初頭にFBIは、金融および小売分野と比較して、医療業界はサイバー攻撃に対する回復力が低く、そのために攻撃が増える「可能性が高い」という警告を医療提供者に発しました。
この問題に対応できるようにベライゾンは、レポートを通じてデータを保護するためのアドバイスや、推奨事項を提供するだけでなく、多くの組織において、認識していないようなところにも医療情報(PHI)データが存在するという事実を指摘しています。

Verizon 2015 Protected Health Information Data Breach Report(ベライゾン医療情報データ漏洩/侵害レポート)
この「医療情報データ漏洩/侵害レポート」は実際の事例に基づいており、この種類の調査としては業界でも最も総合的なレポートとなっています。このレポートは外来医療サービス、病院、看護および介護などを含む医療業界と、北アメリカ、ヨーロッパ、アジア太平洋地域における社会的支援に重点を置いた医療情報データの漏洩/侵害を分析しています。
このレポートは以下の組織や団体から提供されたインシデントを含んでいます。ACE Group、CERT Insider Threat Center、CrowdStrike、Deloitte、Dutch National High Tech Crime Unit、G-C Partners、LLP、Kaspersky Lab、Mishcon de Reya、NetDiligence、U.S. Secret Serviceなど。また、米国保健社会福祉省のインシデントデータベース(少なくとも500人に影響するインシデントについて)および米国議会に報告された復員軍人援護局からの多数のインシデント(VERIS Community Databaseプロジェクトから)からの情報も含まれています。
ベライゾンのデータ漏洩/侵害調査報告書(DBIR)シリーズは、データ侵害が発生する前に、あらゆる分野の組織に、データに対する攻撃や情報保護の重要性を理解してもらうことを目的として毎年実施され、発表されています。

レポートの完全版は以下のURLよりご覧ください。
リンク

***

ベライゾンエンタープライズソリューションズは、ビジネスの成長や業務革新を推進し、社会を前進させるグローバルコネクションを創造します。ベライゾンは、セキュアなモビリティプラットフォーム、クラウドプラットフォーム、戦略的ネットワーキングプラットフォーム、高度な通信プラットフォームを通じて提供される業界に特化したソリューションによって、企業におけるイノベーション、投資、ビジネス変革に関する新しい可能性を切り開きます。詳細については www.verizonenterprise.com/jp またはwww.verizon.jpをご参照ください。


ベライゾンについて:
Verizon Communications Inc.(NYSE, NASDAQ:VZ)はニュ-ヨ-クに本社を置き、ブロ-ドバンド、無線・有線通信サービスを消費者、法人、政府組織、ホールセール顧客企業に提供するグローバルリーダーです。ベライゾン ワイヤレスは米国で最も信頼性に優れた無線ネットワ-クを展開し、米国内接続数は1億900万を上回ります。ベライゾンは統合された通信、情報、エンタ-テイメントのサービスを米国内最先端の光ファイバーネットワ-クで提供し、さらに革新的でシームレスなビジネスソリュ-ションをワールドワイドに提供しています。ダウ工業株30銘柄企業の一社であるベライゾンは、世界中に178,500名以上の社員を擁し、2015年度1,320憶ドルの連結売上を発表しています。詳細については、日本法人サイトwww.verizonenterprise.com/jp、www.verizon.jpおよびVerizon Communications 本社サイト(英語)www.verizon.comをご参照ください。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。