最新動向/市場予測

米国の大学病院がモバイルデバイスのHIPAA違反で制裁金300万米ドル

【第96号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年11月5日、米国保健福祉省(HHS)の公民権室(OCR)は、ニューヨーク州のロチェスター大学医療センター(URMC)で発覚した暗号化されていないハードウェアの紛失・盗難による患者情報漏えいに関連して、300万米ドルの制裁金を支払うことで和解したと発表しました。

第96号 2019.11.27公開

URMCは、2013年および2017年、暗号化されていないフラッシュドライブの紛失および暗号化されていないラップトップPCの盗難により、保護対象保健情報(PHI)が許容できないレベルの状態で公開されていたインシデントをOCRに報告していました。

その後のOCRの調査により、URMCは、医療保険の相互運用性と説明責任に関する法律(HIPAA)のプライバシー・セキュリティ規則の要求事項のうち、以下の点について不備があることが指摘されました。

  • 組織全体のリスク分析の実施
  • 相当の適切なレベルまでリスクおよび脆弱性を低減するのに十分なセキュリティ対策の導入
  • デバイスおよび媒体に対するコントロールの有効活用
  • 相当の適切な措置が必要な場合、保護対象電子保健情報(ePHI)を暗号化・復号するメカニズムの導入

加えてOCRは、2010年、暗号化されていないフラッシュドライブの紛失に起因する同様のインシデントに関連してURMCを調査し、技術的支援を行っていました。それにも関わらず、暗号化の欠如がePHIに対する高いリスクとなり、暗号化されていないモバイルデバイスの継続的な使用を認めていたことが発覚し、今回、URMCに対して、高額の制裁金が課されています。なおURMCは、OCRがHIPAA遵守状況を2年間モニタリングすることを含む是正計画を受け入れています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・保健福祉省(HHS)の公民権室(OCR)は、2019年10月2日、テキサス州内の歯科診療所に対し、ソーシャルメディア上のコミュニケーションに起因する患者情報漏えいに関連して制裁金(10,000米ドル)を課したことを発表しており、施設規模に関係なく、HIPAA要求事項の遵守を求めている。暗号化していないハードウェアの盗難・紛失に起因する患者情報漏えいインシデントは継続的に発生しているので、プライバシーポリシーに基づいてデータ漏えい防止策を徹底させる必要がある。
 

医療機器メーカー/医療品メーカー

・医療機関との間で、ハードウェアを介して患者データのやりとりをする医薬品/医療機器メーカーは、両者間の責任分担を明確化した上で、ハードウェアに係るアイデンティティ/アクセス管理、保存データの暗号化などのデータ漏えい防止策を徹底させる必要がある。

サプライヤー

・医療機関や医薬品/医療機器メーカー向けに、患者データに関わる製品・サービスを提供するサプライヤーは、顧客先から預かった患者データに関わるインシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について再点検し、リスク低減に努めておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?