Skip to content

個人健康情報(PHI)ハックの真のコストとは?

サイバー犯罪者にとって、個人健康情報(PHI)は非常に価値のあるデータの宝庫であり、他のどんな個人記録よりもはるかに高値で売れる可能性があります。 患者さんのPHIには、社会保障番号、住所、電話番号、保険情報、処方箋、診断書、請求書などが含まれます。 これにより、サイバー犯罪者がPHIハックで大儲けする機会が生まれます。 一方、ヘルスケア機関にとっては、重大な損失の恐れがあります。 ヘルスケア機関のセキュリティはますます重要になっています。

PHIを保護することの重要性

PHIは、改変できない個人のアイデンティティに関する情報が含まれているため、固有のデータソースです。 一度診断が下されると、それは永久的なものとなります。 同様に、処方された薬やアレルギー、メンタルヘルスの記録などの医療データも変更できません。 そのため、PHIには、他の多くの業界には適用されない厳しい機密保持と開示の要件が課せられています。

Hackers pay up to $1000 for health records

犯罪者はたった1件の医療記録に1000ドルまで支払う

クレジットカードや口座番号が盗まれて不正使用された場合、銀行に行って数字を変更するだけで問題は解決します。 しかし、変更できない医療情報は、脅迫や個人情報の盗用など、さまざまな悪意ある目的に使用される可能性があります。 サイバー犯罪者が、クレジットカード番号には25セントしか払わないのに、たった1件の医療記録には1000ドルものお金を払うのはこのためです。

ヘルスケア機関特有のサイバーセキュリティの問題

 

ヘルスケア機関は、患者データを保護するために厳しい要件を満たさなければなりませんが、コンプライアンスが必ずしもPHIの安全を意味するわけではありません。 テクノロジーが急速に進化し、ヘルスケア業界では、接続された医療機器、サーバ、およびPCへの依存度が高まる中、ハッカーの巧妙なゲームに規制が追いついていません。 他の業界では、つながる技術のエコシステムがこれほどまでに拡張されていることはありません。特に、ヘルスケアの分野では、生死に関わるような状況がよくあります。

現代のあらゆる産業がサイバーセキュリティの課題に直面していますが、ヘルスケア分野は犯罪者の大きな標的となっています。 患者記録に含まれる広範なデータ、膨大な攻撃対象のエコシステム、そしてハックによって引き起こされる生死に関わる状況を考慮すると、ヘルスケア機関は特に脆弱であると言えます。 これらの理由から、ヘルスケア業界では、サイバー犯罪者がシステムに侵入しようとする頻度や粘り強さが増していると考えられます。

PHIハックのコスト

 

PHIハックの後、ヘルスケア機関は流出を食い止め、コンプライアンス規制を満たすために様々な行動を取らなければならず、これらの費用は膨れ上がります。 ヘルスケア機関は、規制当局からの罰金、通知費用、個人情報の盗難の修復、および信用監視などの費用を支払わなければなりません。

Data breaches cost $408 per health record

ヘルスケアデータ流出の平均コストは医療記録1件あたり408ドル

ヘルスケア機関における、1件のデータ流出に関わるその記録数の多さから、莫大なコストと余波の規模が発生します。 Protenus社の「2020 Breach Barometer」によると、2019年だけで4,000万件以上の患者記録が流出しています。 医療記録1件あたり408ドルというコストは、たとえ最小限の流出であってもすぐに膨大な額になります。

ヘルスケア機関でのデータ流出は他分野での流出に比べコスト65%増

人が生まれてすぐに、その人のPHIはヘルスケア機関のITインフラに保存されます。 多くの場合、出生だけでヘルスケアシステムにおいて積極的に参加することになるため、ほとんどの人がヘルスケアデータ流出の被害を受けやすいことになります。

実際、米国小児科学会によると、「子どもは(ヘルスケアデータ流出に対して)特に脆弱である可能性があります。 特に、ヘルスケア事業者が流出に気づいていない場合、個人情報が漏洩したことに気づくのに数年から数十年かかるかもしれません。」ということです。

ヘルスケアシステムは、サイバー攻撃に対して独自の脆弱性を持っているだけでなく、貴重な情報が蓄積された巨大なデータベースを持っているために、ハッカーの巨大な標的となっています。 その結果、データ流出が発生した後のコストが尋常ではありません。

データ流出の防止

接続された医療機器のアプリ開発者であろうと、大規模なヘルスケア機関の情報セキュリティ担当者であろうと、貴重な患者情報を保護することはあなたの仕事です。 自動化されたインテリジェントなセキュリティソリューションが肝要であり、脆弱性評価を定期的に行うことが重要です。 エンドツーエンドで適切なサイバーセキュリティの予防策を確保することは、組織にとって、PHIの流出を防ぎ、広大なヘルスケアのエコシステムのあらゆる側面を保護するための最善策です。

 

出展:

Protenus社:2020 Breach Barometer 

AAPニュース:ヘルスケア機関においてサイバーセキュリティ攻撃に特に脆弱な子供たち

Forbes誌:あなたの電子カルテはハッカーにとって1000ドルの価値があるかもしれません

Ponemon Institute:2019 Cost of a Data Breach Report