カリフォルニア州医療機関のセキュリティ侵害報告800件を超える

米国健康情報管理協会 (AHIMA) は7日、医療機関のプライバシに関する新しいカリフォルニア州法施行以来、今年に入って同州の医療機関から800件以上にのぼるセキュリティ侵害の報告が上がったとするレポートを、同協会の機関誌『Journal of the American Health Information Management Association』で発表した。

昨年カリフォルニア州議会を通過した上院法案第541号と下院法案第211号は、同州の医療機関に対して、診療記録への不正アクセスをすべてカリフォルニア州公衆衛生局 (CDPH) に報告するよう義務付けている。

AHIMA のレポートによれば、その結果同州の行政担当者の下には、瞬く間にセキュリティ侵害事案の通知が殺到したという。

「最新の数字では、CDPH が (2009年) 1月1日から5月31日までに受領したセキュリティ侵害事案の通知件数は823件に及ぶ。これらのうち調査が完了したのは122件で、その結果116件がセキュリティ侵害と確認された。また、232件が調査継続中で、469件が調査保留となっている」

予想外に膨大なセキュリティ侵害事案の通知が集まった要因の1つとしては、新たな州法によってセキュリティ侵害の定義が変わり、あらゆる不適切なデータアクセスも対象となった点がある。

AHIMA はレポートの中で次のように説明している。「報告のあったセキュリティ侵害の種類は多岐にわたる。たとえば、患者のカルテを誤って別の先生にファックスで送ってしまったというような、意図的でないセキュリティ侵害から、医療従事者がある目的を持って患者の記録を詮索するといった行為まで幅広い」

しかし、一部の事案が悪意のないものだとしても、脅威を割り引いて考えることはできない。

この点について、IT 管理ソフトウェア会社 CA のセキュリティ管理部門でシニア バイスプレジデントを務める Bill Mann 氏は、次のように述べている。「われわれが今後経験する攻撃は、外部からの巧妙な攻撃に比べ、情報にアクセス可能な組織内の人間の手によるものが多くなるだろう」

注意すべきは、内部の人間ならば上級管理者でなくても組織に損害を与えることができるという点だ。米国連邦調査局 (FBI) は6月、テキサス州の医療機関 Carrell Clinic で警備員として勤務していた男を、患者の機密情報に対する不正アクセスの容疑で逮捕している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール