新たな、また高度化するサイバー脅威のなかで、医療機関にとってのリスクはかつてないほど高まりを見せています。世界的に見ても、医療機関は、医療システムの弱体化だけでなく、患者データの侵害を目的とする攻撃を受けてきました。機密情報以外にも、医療機能の提供や患者の受けるサービスにかかわる機能を標的とする攻撃が増加しています。医療機関がランサムウェア攻撃を受けた場合、生命が危機にさらされている状況で、システムの使用不可によるタイムロスを許容することはできないでしょう。
事態をより複雑にしているのは、医療業界が他業界と比較してサイバーリスクへの備えに遅れをとっているという事実です。多くの医療機関は、テクノロジーをバックオフィス機能と見なしており、旧式のメインフレームや、現在の基準やニーズに合わなくなった古いテクノロジーやツールに依存しています。
電子医療記録システム(EHR)は、患者の医療やサービスへのアクセスを改善し、医療の質と安全性を高め、臨床のワークフローを合理化し、チームベースの連携をサポートするために不可欠な臨床テクノロジーです。これらの相互運用可能なシステムは、医療システムに多くのメリットをもたらす一方で、保有する情報の性質上、サイバー攻撃のリスクにさらされてもいます。
医療システムは、ランサムウェアやDDoS攻撃(攻撃対象となるウェブサーバーなどに対し、複数のコンピューターから大量のパケットを送りつけることで、正常なサービス提供を妨げる行為)など、さまざまな情報セキュリティの脅威に直面し続けています。これらの攻撃は、多くの場合、多要素認証の未実装、旧式のシステムへの依存、エンドポイントの複雑さ、セキュリティアウェアネスとトレーニングの不足など、医療機関が直面しているさまざまなサイバーセキュリティの課題から生じる隙を突いて行われます。
さらに、医療機関は、情報セキュリティ、プライバシー、相互運用性に関する規制強化の影響を受けることにもなります。医療システム、医療保険者および各種委員会は、これらの義務を果たすために協業することが求められます。医療機関の経営層が変革の道のりを進めるなかでも、これらは重要な領域となります。サイバーセキュリティのリーダーは、レジリエンス、規制遵守、AI統合のロードマップに焦点を当てることにより、医療業界のITインフラの完全性を向上させるうえで中心的な役割を果たすことができるでしょう。
本稿は、KPMGの発行する「サイバーセキュリティ主要課題2024 」に基づき、CTO、CIOおよびその配下組織の目標達成をサポートし、特定のセキュリティインシデントの影響を軽減し、全体的なセキュリティリスクを低減するために、医療分野に向けた視点を提供することを目的として編纂されています。
目次
主要課題1:サイバーセキュリティを医療機関のレジリエンスと連携させる
医療機関では、迅速で慎重な対応とプロアクティブな計画を必要とする、堅牢なサイバーレジリエンスの緊急性が認識されています。医療機関におけるレジリエンスとは、運用能力を維持するだけでなく、患者や利害関係者の信用と信頼を維持することでもあります。
医療機関は、この分野特有の脆弱性と規制コンプライアンス要件を考慮しつつ、サイバー脅威の動的な性質に対処するための、再現性のある対応方法を求めています。KPMGの調査では、医療技術機能に関する意思決定を他の業界と比較すると、医療機関の幹部は、従業員の研修においてサイバーセキュリティを形式的に扱う割合が全体の平均よりも10%低いことが明らかになっています。その代わりに、医療機関では、信頼性を確保するために組織全体にサイバーセキュリティを広く取り入れています。
【直面する難題】
保護対象保健情報(PHI)への侵害
保護対象保健情報、通称PHI(Protected Health Information)は、攻撃者にとって常に収益性の高いターゲットです。PHIの侵害は、医療記録の改ざんや、処方薬へのアクセスのためのなりすましを通じて、医療詐欺につながる可能性があります。これにより医療機関の評判が損なわれ、患者からの信頼の失墜につながる恐れがあります。
旧式のテクノロジー
旧式のテクノロジーおよびITインフラの広範な使用は、しばしば、攻撃者がつけいることのできる脆弱性を放置する事態を引き起こします。テクノロジーの刷新は、依然としてコストと時間がかかる取組みであり、多くの場合、変革の障壁となります。
スタッフのトレーニング不足
学んできた内容や職務の内容を考えると、多くの医療従事者は基本的なサイバーセキュリティの規範を理解していない可能性があります。適切なトレーニングが行われない場合、フィッシングなどの脅威リスクが高まります。
コンプライアンス違反
世界中の医療機関は、患者データに関する厳格な規制ルールの下で運営されており、これらの規制に従わないと厳しい罰則が科される可能性があります。
エンドポイントの複雑さ
医療システムは、大規模な従業員グループと広大な物理インフラを有するため、エンドポイントの複雑さに関する特有の課題を抱えています。組織は何千人ものスタッフ、患者、および訪問者が使用するデバイスを管理しなければなりません。
相互運用可能なEHR
保健医療システムの持続可能性と強靭性を向上するためのパートナーシップ、通称PHSSR(Partnership for Healthcare System Sustainability and Resilience)の最新の調査レポートでは、相互運用可能な臨床データベースとEHRを確立することによる利益を、「すべての医療システムにとって最も重要な目標」であると強調しています。このレポートでは、これらのシステムが「患者の日常ケアを大幅に改善し、サービスの計画と実施、および人工知能を含む新技術の研究開発を支援するための、豊富で完全な人口全体のデータソースを作成する可能性がある」とも述べています。相互運用可能なEHRはまた、患者ポータルにリンクし、医療スタッフによる遠隔アクセスを可能にし、両者のユーザーエクスペリエンス(UX)を向上させるための鍵となります。これらの相互運用可能なシステムは医療システムに多くの利点をもたらす一方、格納されるPHIの性質上、サイバー攻撃の標的となるリスクがあります。
【推奨される施策】
将来を見据えた投資
データ侵害のリスクに対抗するため、高度なデータ暗号化技術とデータ侵害検出システムへの投資が推奨されます。これらの分野へのさらなる投資により、サイバーセキュリティの強固な基盤を築くことができます。「KPMG global tech report 2024 」によると、医療業界は、ブロックチェーンやトークンなどのWeb3テクノロジーを活用した次のレベルのセキュリティの優先順位付けと投資において、他のすべての業界をリードしています。
デジタル化の促進による効率化
デジタル化の促進と、AIを始めとする新興テクノロジーの統合は、業務効率性と患者ケアの質の向上に役立ちます。
トレーニングプログラムの改善
すべてのスタッフが最先端のサイバーセキュリティプラクティスに確実に精通するようなトレーニングプログラムは、サイバーリスクを軽減するだけでなく、セキュリティ文化の醸成にもつながります。
高度なソフトウェア
複雑で進化する規制要件を満たすために、組織は将来に備え、より洗練されたコンプライアンス準拠のインフラとソフトウェアへの投資が求められます。
手作業のプロセスや予備の技術システムにまでレジリエンスを実装するにはリソースが必要です。大規模な公的医療組織では対応可能であっても、小規模な医療機関では、保有するデータが同様に貴重で脆弱であるにもかかわらず、これらの実装が困難である可能性があります。保健医療システムの持続可能性と強靭性を向上するためのパートナーシップであるPHSSRは最新のレポートで、「医療機関と政府システム間でのデジタルシステムの相互運用性に関する明確な規約」の必要性を指摘しています。また、業界全体のセキュリティ態勢を強化するためのロードマップを持つことは、世界中の医療機関にとって有益です。
主要課題2:慎重にAIの可能性を引き出す
【直面する難題】
攻撃に対する脆弱性
既存のAIシステムは、機密性の高い患者データへのアクセスに悪用可能な脆弱性を有しています。攻撃者はこれらの脆弱性を突いて、たとえばAIを操作し、診断や治療計画にバイアスを導入して、患者ケアを妨害することができるかもしれません。
プライバシーに関する懸念
AIソフトウェアによる患者データの広範な使用は、本質的に大量の機密データへのアクセス、処理、および保存を伴うため、プライバシーに関する大きな懸念を引き起こします。主な懸念事項には、次のような点があります。
- プラットフォーム間でのデータ共有
AIシステムは、予測モデリングと分析を改善するために、プラットフォーム間または他のAIシステムとの間でデータを共有することがあります。その際の各データ転送のポイントは、潜在的なセキュリティ脆弱性となり得ます - インフォームドコンセントへの違反
AIシステムを使用する際、患者は、機械学習アルゴリズムや予測モデリングなどにおいて、自分のデータが使用される目的を十分に理解していない可能性があります。このような場合、インフォームドコンセントに対する違反が生じる恐れがあります。 - 非特定化と匿名化
AIは、非特定化または匿名化されたデータを処理に使用できます。しかし、複数のデータセットを集約することで、匿名化されたデータから個人を再特定できる可能性があり、個人のプライバシーが侵害される恐れがあります。
継続的な監視の必要性
AIシステムには、自己学習と意思決定の能力があるため、診断の精度を確認し、規制への準拠を検証し、バイアスをチェックするため、継続的な監視が求められます。AIの医療機関内での統合はいまだ初期段階にあるため、この監視は特に重要です。
【推奨される施策】
精度の向上
悪意あるアルゴリズムから保護するための適切なセキュリティ制御を行うことで、AIによる診断と治療計画の精度を向上させることができます。
信頼の構築
AIに関する厳格なデータプライバシーポリシーを設定することは、患者に関する守秘義務を維持するためのコミットメントを示すことになり、医療機関が患者からの信頼を獲得するのに役立ちます。
リスクの可視化
堅牢なAIシステムは、広範にわたる組織のテクノロジー環境に対して継続的な脆弱性評価を実行するために、不可欠なものになる可能性があります。主要な問題を可視化することで、組織は潜在的なリスクを適時に特定し、積極的な対策を講じることができます。
医療機関は、AIを用いて業務を合理化し効率性を向上させることに、継続して強い関心を示していますが、一方で、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)、欧州と英国の一般データ保護規則(GDPR)、オーストラリアのプライバシー法、カナダの個人情報保護および電子文書法など、医療データ規制に準拠した方法で技術を活用するために、個別の課題を抱えています。各医療機関の背景に基づく規制要件に準拠しながら、効率性と有効性の向上を促進するカスタムAIは、前進の手段となり得るでしょう。
主要課題3:サプライチェーンのセキュリティを最新化する
医療機関のリーダーは、従来の外部組織およびサプライチェーン向けのセキュリティモデルで、今日の複雑で相互依存的なエコシステムに挑んでおり、サプライチェーンのセキュリティを高度化する必要性にかつてないほど迫られています。外部組織が取引ベースでのみ影響を及ぼすという考え方は、過去の遺物です。今日では、API、高度なプロセス、およびSaaSの依存関係により、サプライヤーとのパートナーシップに対し、より戦略的なアプローチを採ることが求められています。
サプライヤーの複雑化するリスクプロファイルを継続的に監視し、管理する必要性が高まっています。そのなかで、可視性、拡張性、および取引先パートナーのリスクプロファイルの進化という課題が大きく立ちはだかっています。しかし、こうした状況は、包括的なリスクベースの考え方とインテリジェントオートメーションの戦略的な適用により、サプライチェーンセキュリティを主要なビジネスの実現手段として再考する機会でもあります。
【直面する難題】
サプライチェーン全体の脆弱性
サプライヤー、メーカー、サービスプロバイダーで構成されるヘルスケアサプライチェーンのネットワークは、サイバーセキュリティの課題をより複雑にしています。組織ごとにサイバーセキュリティの成熟度レベルが異なる場合があり、サプライチェーン全体が最も弱いチェーンの環に合わせて脆弱になります。このように、多様性のあるネットワーク全体で一貫したセキュリティ対策を確保することは、依然として困難です。
標準化の欠如
相互運用性とデータ共有は、サプライチェーン全体でセキュリティリスクを引き起こす可能性があります。課題は、異なるシステム、組織およびデバイス間で安全にデータが流れるようにすることです。このためには、堅牢な暗号化と安全なデータ処理業務だけでなく、達成が困難なレベルの標準化も求められます。
【推奨される施策】
全体的なセキュリティ態勢の向上
ベンダーに対して高いサイバーセキュリティ基準を課すことにより、医療機関が自身のセキュリティ体制を向上させるだけでなく、業界全体のセキュリティ基準を向上させることができます。これは、調達契約において厳格なサイバーセキュリティ基準を適用し、定期的な監査を実施し、小規模なベンダーがこれらの基準を満たすためのサポートを提供することにより実現できます。
より統合された、レジリエントなネットワーク
包括的なサイバーセキュリティフレームワークを採用し、相互運用性に関する基準の適用を推奨することで、医療機関はより統合された、安全なサプライチェーンを構築することができます。これにより、より有効なデータ共有とコラボレーションが促進され、サプライチェーンが変化に適応しやすくなり、サイバーセキュリティの脅威に対応できるようになります。
サプライチェーンセキュリティの刷新は依然として重要ですが、財務的にも運用上も拡張性がない、時間のかかる手作業によるリスク評価は、過去のものになりつつあります。新しいテクノロジーとツールは、サイバーリスクを診断し、ベンダーの重点領域を優先順位付けする能力を継続的に進化させています。これにより、手作業が減り、レジリエンス向上のための取組みに、より多くのリソースを割くことが可能になります。
医療機関におけるサイバーセキュリティ脅威の実情と教訓
医療機関のリーダーが取り組むべき重要なポイント
- 医療には、生死にかかわる意思決定が伴います。生命が危険にさらされている際にシステムの停止を許容する余裕は、医療機関にはありません。医療機関のレジリエンスを向上させるには、さまざまなサイバー攻撃を特定し、封じ込め、根絶し、回復するための手順を概説した包括的なインシデント対応計画が必要です。
- 医療業界は、堅牢なデータプライバシーとセキュリティ対策を確保しながら、患者のアウトカムと患者エクスペリエンスの改善、ユーザーのためのガバナンスフレームワークと倫理ガイドラインの確立、医療業務におけるAIの開発に焦点を当てたテクノロジーを採用しなければなりません。
- 複雑で相互依存的なエコシステムにおいて、医療機関は外部機関のセキュリティ態勢を評価し、サプライチェーンの潜在的な脆弱性を迅速に検出して対処するための、継続的な監視計画の実行能力を有することが求められます。
KPMGの支援
直面するさまざまな課題に対処するために、ますます多くの医療機関がテクノロジーを活用しています。テクノロジーは多くのことを可能にしますが、それは必ずしも安全性が確保されていることを意味するわけではありません。サイバー攻撃が増加し、高度化する一方で、患者のニーズを満たし、医療提供者、スタッフ、および医療システムパートナーの期待に応えるために、テクノロジーの安全性が不可欠になっています。
KPMGは、世界中の医療機関と協力し、市場の課題への対処、業界の詳細な視点の提供、サイバーセキュリティプログラムの評価、高度なデジタルソリューションの開発とその実装、進行中のリスクの監視などに関する助言、情報セキュリティインシデントへの適切な対応の策定などを支援しています。
KPMGのサイバーセキュリティサービスが貴社の現在および将来のニーズにどのように対応できるかについて、ぜひお問い合わせください。
※本稿は、KPMGインターナショナルが2024年に発表した「Cybersecurity considerations: Healthcare sector insights」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
