米国の外部委託サービス企業がHIPAA違反で制裁金100万米ドル ブックマークが追加されました
最新動向/市場予測
米国の外部委託サービス企業がHIPAA違反で制裁金100万米ドル
【第192号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年10月31日、米国保健福祉省(HHS)の公民権室(OCR)は、マサチューセッツ州の医療管理サービス企業であるドクターズ・マネジメント・サービス(DMS: Doctors' Management Services, Inc.)が、同社の医療保険の相互運用性と説明責任に関する法律(HIPAA)プライバシー規則・セキュリティ規則違反に関連して、100万米ドルの制裁金を支払うことで和解したと発表しました。
第192号 2023.11.22公開
DMSは、HIPAA規則の適用対象主体(CE)である医療機関や医療保険者からの委託を受けて、保護対象保健情報(PHI)を利用した医療管理サービス業務を行う事業提携者(BA)に該当します。
OCRによると、DMSは、2019年4月22日、同社のネットワークサーバーがランサムウェア「GandCrab」に感染し、約206,695人が影響を受けたとする侵害報告を提出しました。内部の不正アクセスは2017年4月1日に発生していましたが、DMSが侵入を検知したのは、ランサムウェアがファイルを暗号化した後の2018年12月24日でした。
報告を受けたOCRが調査を実施した結果、DMSが同社全体の電子保護対象保健情報(ePHI)に対する潜在的なリスクや脆弱性を特定する分析を行う際に、ミスがあった可能性を示すエビデンスが見つかったとしています。また、保健情報システムによるサイバー攻撃から保護するための活動に対する監視が不十分だったこと、ePHIの機密性、完全性、可用性を保護するHIPAAセキュリティ規則の要求事項を実装するためのポリシーや手順がなかったことが指摘されました。
DMSは、HIPAA違反の制裁金100万米ドルの支払に加えて、今後3年間OCRがDMSのHIPAA遵守状況を監視すること、違反是正に向けた選択的行動計画を導入することで、和解しました。DMSは、以下のようなステップを踏むとしています。
- 電子保護対象保健情報(ePHI)の機密性、完全性、可用性を保護するために、DMSに対する潜在的なリスクや脆弱性を特定するリスク分析を見直し、刷新する
- 更新されたリスク分析で発見したリスクや脆弱性を処理して低減するために、組織全体のリスクマネジメント計画(ePHIの機密性、完全性、可用性を保護する戦略)を刷新する
- 必要な場合、HIPAAプライバシー規則およびセキュリティ規則を遵守するために、書面化されたポリシーや手順を見直して修正する
- HIPAAポリシーや手順に関するトレーニングを従業員に提供する
昨今、重要インフラのサプライチェーンセキュリティの観点から、事業提携者(BA)に起因するデータ侵害事案が大きな問題となっています。たとえば、2023年10月にOCRへの報告があった侵害事案総数32件のうち、医療機関からの報告が18件、医療保険者が4件だったのに対し、事業提携者は10件となっています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・会計、人事・労務管理など、医療管理業務を外部のサービスプロバイダーに委託する医療機関は、患者/消費者に対する一義的責任を負うのが、医療機関であることを再認識した上で、外部委託先に起因するサイバーインシデント発生時のインシデント対応・情報共有や事業継続管理に係るポリシーや手順、リスクコミュニケーションなど、サードパーティベンダーリスク管理体制を見直しておく必要がある。
医療機器メーカー/医療品メーカー
・医療機関とネットワーク接続して業務を行う医療機器メーカー/医薬品メーカーは、直接契約関係にないサードパーティベンダー側でサイバーインシデントが発生した場合、自社の業務プロセスに影響を及ぼす可能性があるので、今回の事例などを参考にしながら、プライバシー/サイバーセキュリティに関するリスク評価を実施し、インシデント対応・情報共有や事業継続管理において医療機関との連携が必要な部分があれば、積極的に相互間のコミュニケーション活動を強化する必要がある。
サプライヤー
・医療機関向けに医療情報関連製品・サービスを提供するサプライヤーは、医療管理部門の外部委託先で発生したサイバーインシデントの影響により、医療管理部門と直接関係のない部門の業務プロセスに直接的/間接的な問題が発生する可能性があるので、インシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について再点検し、リスク低減に努めておく必要がある。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。