最新動向/市場予測

米国保健福祉省が2022年度HIPAA遵守・侵害通知報告書を公表

【第200号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2024年2月22日、米国保健福祉省(HHS)の公民権室(OCR)は、「2022年度版HIPAAプライバシー・セキュリティ・侵害通知規則遵守に関する議会向け報告書」と「2022年度版セキュアでない保護対象保健情報の侵害に関する議会向け報告書」を発行し、同月14日、2つの報告書を米国議会に提出していたことを公表しました。

第200号 2024.3.27公開

各報告書は、経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)第13402条(i)に基づいて、HHSに通知された医療情報侵害インシデントの件数や解決状況、特徴などをとりまとめたものです。HIPAA侵害通知規則では、500人以上に影響を与える保護対象保健情報(PHI)侵害を発見したら60日以内に、HHSおよび個人に通知するよう求めています。

OCRは、今回の報告書の特徴について、以下のような点を挙げています。

  • OCRは、新たに30,435件(前年度比11%減)のHIPAA規則違反に係る苦情を受け付けた。
  • OCRは、32,250件のHIPAA規則違反に係る苦情を解決した。
  • OCRは、解決合意書(RA)/是正措置計画(CAP)と総額802,500米ドルの解決金により17件の苦情調査を解決し、1件の苦情調査については民事制裁金総額100,000米ドルで決着した。
  • OCRは、846件のコンプライアンスレビューを完了し、その内80%(674件)については、対象主体に対して是正措置または民事制裁金支払を求めた。これらのコンプライアンスレビューについては、解決合意書/是正措置計画と総額2,425,640.米ドルの解決金により解決した。

さらに、500人以上に影響を与える保護対象保健情報(PHI)侵害報告件数をみていくと、以下のような結果になっています。

  • 侵害のタイプ別比率: ①「ハッキング/ITインシデント」(74%)、②「不正なアクセスまたは開示」(19%)、③「窃盗」(4%)、④「損失」(2%)、⑤「不適切な廃棄」(1%未満)
  • PHIのロケーション別比率: ①「ネットワークサーバ」(58%)、②「電子メール」(22%)、③「電子医療記録」(6%)、③「紙」(6%)、⑤「デスクトップコンピュータ」(4%)、⑥「その他のポータブル電子デバイス」(3%)、⑦「ラップトップコンピュータ」(2%)、⑧「その他」(1%未満)

他方、500人未満の個人に影響を与えるPHI侵害報告件数をみていくと、以下のような結果になっている。

  • 侵害のタイプ別比率: ①「不正なアクセスまたは開示」 (93%)、②「損失」(4%)、③「ハッキング/ITインシデント」 (1%)、③「窃盗」(1%)、⑤「不適切な廃棄」(1%未満)
  • PHIのロケーション別比率: ①「紙」(62%)、②「電子医療記録」(17%)、③「その他」(12%)、④「電子メール」(6%)、⑤「ネットワークサーバ」(1%)、⑤「デスクトップコンピュータ」(1%)、⑤「その他のポータブル電子デバイス」(1%)、⑧「ラップトップコンピュータ」(1%未満)

今回公表した報告書では、適用対象主体がOCRと締結した解決合意書(RA)/是正措置計画(CAP)の具体的事例などについても整理・公表しています。
 
なお、OCRは毎年2月頃に医療情報侵害報告書を公表しており、過去の報告書のアーカイブも公開されています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・保健福祉省の侵害通知報告書は、米国だけでなく海外の医療機関や医療ITベンダーの間で、セキュリティインシデント動向を時系列的に把握するための基礎資料として活用されている。最近は、米国会計検査院(GAO)の提言を受けて、インシデント対応に係るベストプラクティスの公開・蓄積に注力しているので、日本の医療機関のセキュリティ管理者も米国の最新事例を参照しながら、インシデント対応計画策定やサイバー教育・訓練に組込んでいく必要がある。

医療機器メーカー/医療品メーカー

・保健福祉省の侵害通知報告書では、医療機関の外部委託先として業務を行う業提携者(BA)のセキュリティインシデント動向についても捕捉している。自社製品とビジネス/ITサービスを組み合わせて医療機関や患者向けに付加価値サービスを提供する医療機器・医薬品メーカーは、最新のセキュリティインシデント動向や対応策のベストプラクティスを、自社のサプライチェーンセキュリティ管理策に取り入れていく必要がある。

サプライヤー

・医療機関や医療機器メーカー/医薬品メーカー向けにIT関連製品・サービスを提供するサプライヤーは、サプライチェーンリスク管理の観点から、米国における医療機関やその外部委託先企業におけるセキュリティインシデントの発生要因や発生場所、対応策などの動向について継続的にモニタリングし、日本国内のインシデント対応計画の策定・運用に役立ていく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

執筆者

笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー

宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事

お役に立ちましたか?