ニューヨーク(CNNMoney) 近年、ハッキングやデータ漏えいにより米国で最も打撃を受けているのが医療業界だ。米ポネモン研究所の研究者がこのほど発表した統計によると、2012年から13年にかけて、90%の医療機関で患者のデータが危険にさらされたり、実際に盗まれたりしていた。
医療業界の情報漏えい件数は、軍事と銀行の両分野での流出件数の合計よりも多い。
今年に入ってからも、医療業界は8月半ばまでに、200件を超える情報漏えい事件に見舞われている。これは大規模漏えい事件の半数近くの割合を占めており、計210万件の記録を失った。
しかも、ここに含まれていない数字もある。米病院経営大手のコミュニティー・ヘルス・システムズ(CHS)のネットワークが大規模なハッキング攻撃を受け、患者450万人分の氏名や社会保障番号を盗まれていたことも明らかになっている。
医療業界がこれほど多くのハッキング攻撃を受けている背景には、不正に取得された医療記録が闇市場において高値で取引されている事情がある。
クレジットカード情報が最高で1ドル(約100円)程度なのに対し、医療情報の場合、患者1人分につき約50ドル(約5000円)の値段がつく。
こうして売買された医療記録の用途としては、医療保険の不正請求や、患者になりすまして手に入れた処方薬の転売などさまざまだ。
米国の病院では現在、これまで紙で保存されてきた患者記録をデジタル化する動きが進んでいるが、デジタルファイルを保護するために必要な対策が取られているとは言いがたい。
情報セキュリティー大手トレンドマクロ社のJ・D・シェリー氏も、「医療業界はハッカーに追いつけていない」と指摘。日々の仕事に追われるあまり情報セキュリティーがおざなりになっている現状に警鐘を鳴らす。
病院の患者記録はたいていの場合、他の事務情報と同一のネットワーク上に保存されており、ひとたびハッカーに侵入を許すと、容易に患者情報までアクセスされてしまう。
さらに、古い技術を使い続けていてセキュリティープログラムの更新が途絶えている病院も多い。
情報セキュリティー会社トラステッドセックの最高経営責任者(CEO)であるデービッド・ケネディー氏によると、CHSを攻撃したハッカーは、暗号化技術「OpenSSL」の脆弱(ぜいじゃく)性を突き、職員のログイン資格を不正に利用してネットワークに侵入した。
このOpenSSLの欠陥は通称「ハートブリード」と呼ばれ、今年4月に発見されたが、バグ発見後のCHS側の修正対応が遅れていたという。
ほとんどの医師や病院は患者情報を暗号化しておらず、米連邦法でも暗号化を義務づけていないのが現状だ。医療現場ではこうしたIT技術の進歩に追いつこうと尽力しているが、小規模の開業医がサイバーセキュリティーの専門家を雇うのは厳しい。
とはいえ、医療デジタル化の流れには逆らえそうにない。オバマ大統領肝いりの医療保険制度(通称・オバマケア)では電子健康記録(EHR)の利用が推奨されているほか、補助金面での各種優遇もある。
米保健社会福祉省(HHS)は、EHRの導入によって患者情報の安全管理が損なわれることはないとしている。しかし、現実には、データ漏えいが常態となりつつあるようだ。