別の医療系ベンダーによる情報漏洩、委託先の引き継ぎが本当の弱点であることが明らかに
医療機関が侵害されるのは、コンプライアンスを忘れたからではありません。患者データが、EHR、請求ポータル、適格性チェック、紹介、画像診断システム、保険者、ベンダー、パートナーなど、広範なエコシステム内を迅速に移動しなければならないために発生します。ほとんどの場合、弱点はこれらのシステム間の受け渡し部分にあり、壁に掲げられたミッションステートメントにはありません。 これこそが、Kiteworksが解決するために設計された課題です。Kiteworksは、医療提供者やそのビジネスパートナーに対し、保護対象保健情報(PHI)の交換のための強化されたゼロトラスト環境を提供します。強力な暗号化、きめ細かなアクセス制御、多要素認証、詳細な監査ログにより、誰が、いつ、何に、なぜアクセスしたのかを証明できます。PHIが毎日院外に出ていく現実の世界に対応した設計です。 さて、本題の侵害について。 5つの重要なポイント ベンダーの侵害は、医療機関の侵害でもある。TriZettoのインシデントは、単一の医療機関の内部システムではなく、共有ポータルを通じて複数の医療機関に影響を与えました。PHIが第三者の環境を経由する場合、そのセキュリティ不備は自社の侵害通知につながります。 11か月間の未検知アクセスは、運が悪かったのではなく、監視体制の不備。攻撃者は2024年11月から2025年10月までアクセスしていました。この長期滞在は、ログの不十分さ、異常検知の弱さ、データの機微さに対してアクセス制御が広すぎたことを示しています。 保険・適格性データは、多くの組織が思う以上に価値がある。社会保障番号、会員ID、保険会社名、医療提供者情報は、医療ID詐欺、不正請求、標的型フィッシングの温床です。クレジットカードと異なり、これらの識別子はすぐにキャンセルや変更ができません。 HIPAAの侵害通知タイマーは、完璧な回答を待ってはくれない。侵害が判明した時点で、対象となる組織やビジネスアソシエイトには厳格な通知期限が課され、個別通知やHHSへの報告が「不合理な遅延なく」求められます。通知ワークフローを誤ると、侵害そのものに加え、規制リスクが増大します。 セキュアなデータ交換は、多くの医療機関がいまだに克服できていないギャップ。ファイアウォールやエンドポイント保護には予算や注目が集まりますが、メール、ポータル、ファイル転送、ベンダー間の受け渡しで移動するPHIこそが、最も一般的な攻撃対象です。この交換レイヤーには、専用の暗号化、アクセス制御、監査ログ、ゼロトラストアーキテクチャが必要です。 Terry Reilly Health Servicesの報告内容 アイダホ州の医療提供者であるTerry Reilly Health Servicesは、個人情報が漏えいした可能性のあるデータセキュリティインシデントについて、特定の患者に通知を行っています。対象者には郵送で通知書が届き、組織は無償でID・クレジット監視サービスを提供しています。 このインシデントは、Terry Reilly Health Servicesが利用する電子医療記録プロバイダーOCHINと連携する第三者ベンダー、TriZetto Provider Solutionsに端を発します。サイバーセキュリティ専門家と法執行機関が対応にあたり、TriZettoは脅威を封じ込めて排除し、セキュリティ対策を強化したとしています。 もし患者としてこれを読んでいて、自分のカルテがネット上に流出したのではと心配しているなら、ここで説明されているのはそういうことではありません。今回の開示は、個人識別情報や保険関連データが中心で、決済カード情報は含まれていません。 自社のセキュリティを信じていますか?本当に証明できますか? Read Now 漏えいした可能性のある情報 今回の侵害で報告されたデータは、犯罪者がすぐに悪用できる種類のものです。 漏えいした情報には、氏名、住所、生年月日、社会保障番号、健康保険会員番号、保険会社名、医療提供者名、その他の人口統計・健康・保険情報が含まれる可能性があります。決済カードや銀行口座番号などの金融データは侵害されていないと報告されています。...
