医療情報は誰のものか - superdyn.jpŒ»療情報は誰のものか.pdf ·...
TRANSCRIPT
医療情報は誰のものか
株式会社ダイナミクス 吉原正彦、鵜川邦夫
レセプトコンピューターの買い替えや、電子カルテの買い替え時に、医療データをスムーズ
に引き継いで別のメーカーの機械に乗り換えることは困難である。通常は「無理だ」と言わ
れ、PDF 化された、非正規化データを参照する事で我慢せねばならない。
各企業が製品に差がなく優位性がない事を自覚しているからこそ、このような障壁を築い
て他社への乗り換えを困難にし、ユーザーの囲い込みをしていると解釈しているが、そもそ
も診療データは誰に帰属するものかを考えると、それは患者であろう。したがって、入力し
たデータをスムーズに正規化されたデータとして出力出来ないというのは間違っている。
また明細領収書が義務化されながら、未だに活用されているとは言い難い。お薬手帳が普及
しても、例えば処置をした際の注射の内容はわからない。しかし明細領収書を発行すること
で他の医療機関に正確に伝える事は可能である。そうした情報を役立てている実例は少な
いし、副作用が出た時に注射の内容がきちんと患者に伝わっていない事は危険ですらある。
それ以前に、種々の検査の結果をきちんと患者に提示し、説明し、渡していないケースもあ
る。
こうして、データが帰属するだろうと思われる患者にきちんとデータを開示していない現
状を解決しないまま、電子カルテや医事会計システムのクラウド化を既成事実化しようと
いう動きがある。もちろん「クラウドにすれば患者が医療データを共有できる」という錦の
御旗を掲げて、である。果たしてそれは妥当で安全なのだろうか。
医療情報の保護のため、医療機関は個人情報が確実・安全に保管され、その情報が外部に流
出することのないように対策を講じなければならない1とされる。しかし、多くの医療機関
では医師や従業員がそれらの管理に精通していないので、電子カルテや医事会計システム
をインターネットに接続しないことでこの脆弱性が担保されて来たと言える。しかし、この
現状や危険性を無視してクラウド化を進めるのであればそれは良くない。例えば「厳重なセ
キュリティ体制で情報が管理され、不足の事態にも万全の体制」というような、内容のはっ
きりしないコピーでクラウド化したレセコンや電子カルテを宣伝している現状は問題であ
る。医療機関はセキュリティに鈍感で、そのデータを簡単に人質にして金銭を請求しやすい
という点で、悪質なハッカーにとって常に有利な標的となっている。あらゆる手法でクラッ
キングやフィッシングが行われるが、日本においてまだこの犯罪が目立たないのは、単純に
世界に比べてクラウド化された医療情報のスケールが甚だ小さいからに過ぎない2。
「サイバーセキュリティ専門家」として内閣府非常勤参与を勤めていた人物が、実は専門家
としての実力が不足している事が露呈したのは 2017 年暮れの事である3。日本では専門家
でない人間が安易に専門と名乗ることが出来るほど人材が不足している現状を鑑みると、
医療の情報セキュリティの将来は極めて不透明であり、危機感を持つべきである。
情報の危険だけでなく、電子カルテ/レセコンのクラウド化では、インターネットプロバイ
ダーにおける通信障害でクラウド型電子カルテが動かずに紙カルテでの運用を余儀なくさ
れるという報告もある。サーバーの冗長化、通信の冗長化を行ってもなおシステムの安定稼
働のリスクがある上、速度も十分でなく、情報漏えいのリスクも常にあり、しかも安定運用
のノウハウはこれから蓄積されるという段階である。全く万全ではない事を我々は十分認
識するべきである。
医療情報のクラウド化に先んじた米国では、セキュリティ技術とハッカーがいたちごっこ
の様相を呈しているが、運用上人為ミスは避けられないので、必ず情報漏えいは起きる、と
いう認識がある。「万全」という言葉は単なる目くらましで、漏えいは起きるので、事故が
起きた時に患者を含め関係者が情報を共有することで二次被害を防ぐ、という思想がある。
アメリカ合衆国保健福祉省(HHS)では、情報漏えいが生じた場合には一定期間内に報告の
義務があり、その内容は医療情報漏えいポータル
https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
として、公開されている。非常に多くの事故が報告されており、2017 年のみで 300 件近い。
中段の LifeBridge Health, Inc.の情報漏えいでは患者の氏名、住所、生年月日、診断、投薬
情報、医療情報、保険情報、場合によっては社会保障番号が被害にあっており、発生から報
告までになんと 2 年を要している。(データが破壊されるか金銭を要求されない限り漏えい
を察知することが難しい)
通常こうした事故が起きると、訴訟によって決着がつくまでは、
専用コールセンターを開設
クレジットカード番号や社会保障番号漏えいの可能性のある患者には、1 年間の無料の
信用調査と信用保護サービスを提供
するというのが典型的な対応である。
実際には詐欺犯は数年経過したころにそのデータを利用するのであろうから、その対応で
は不十分であることが容易に想像できる。
情報漏えいを把握した際には迅速に報告することが義務となっている。例えば中部ミシガ
ンイメージセンター4では 2017 年 3 月、106,000 人分の患者情報に第三者がアクセス可能な
状態になったが、報告が遅れたことが問題となっている。HIPAA5準拠のためにはタイムリ
ーな報告が重要(60 日以内)で、過去にイリノイ州のプレゼンス・ヘルスはこれに違反し
たため 475,000 ドルの罰金を課されている。
また、訴訟が起きたときの賠償額も巨大である。Anthem ブルークロス・ブルーシールドで
は 2015 年にサイバー攻撃6を受け 7880 万人のデータを危険に晒し 115 億円の賠償金で和
解している。
サイバー犯罪の性質上、その影響は未来永劫継続する。盗まれた医療データはダークウェブ
7上で売却され、保険代理人(病院の代理人)になりすまして患者から金銭を回収すること
に使われる。
以上をまとめる。
ランサムウェア攻撃、フィッシングは高度化しており完全な防御は不可能である。
特に人為的なミスや内部の犯行は、大きな機関では 100%防ぐことは出来ない。
サイバー攻撃は、その復旧と調査に膨大な時間と金銭が必要である。
和解金が必要となる上に信用と顧客としての患者は失われる。
情報はダークウェブで取引され、長きにわたり二次被害三次被害が生じる。
情報漏えいにより、事業者には「知らなかった」「万全を尽くしていた」では済まされない
ダメージが生じる。(そして実際には万全を尽くしていた事が証明できない)すでに米国で
は多くの賠償請求と和解が報告されているが、個人情報保護に敏感な日本の国民がどう反
応するかは想像に難くない。これらの損害については表1としてまとめた。
さて、話を元に戻すと医療データは患者に帰属するのではなかろうか。クラウド、ビッグデ
ータ、と浮足立つ前に、企業にはデータをブラックボックス化して囲い込みをしないことが
求められる。そして医療者は患者にきちんと情報提供をすることがまず重要である。
電子カルテダイナミクスは当初から「データ、病名は患者のもの」という思想を背景に開発
され、患者にとって利益が最大になるようデータを囲い込まない、扱いやすくする、を実践
してきました。そしてそのデータを守るためインターネットには接続しない運用を勧めて
います。
インターネットの利便性と安全性を両立させる事は今後の課題ではありますが、まずはデ
ータを利用しやすく、かつ安全に守るという思想のもとで今後も開発を行ってまいります。
直接的損害
刑事罰 6 ヶ月以下の懲役または 30 万円以下の罰金
民事賠償 一人あたり数千~数万円の賠償
間接的損害
信用低下 信用低下による患者減少
捜査・復旧コスト データ検証や復旧にかかるコスト
業務効率低下 業務停止による遅延、殺到する問い合わせへの対
応
二次的損害 情報を使った違法行為 医療機関を騙った金銭の請求などの詐欺行為
個人情報を使った脅迫・誹謗中傷・嫌がらせ
表1.個人情報が漏えいした場合の損害
注釈
1 日本医師会ホームページ「医療情報の保護と開示」
http://www.med.or.jp/doctor/member/kiso/d1.html
2 ScanNetSecurity「世界平均で 1 秒に 44 件のデータが漏えい」(2017/03/29)
https://scan.netsecurity.ne.jp/article/2017/03/29/39598.html
3 朝日新聞「斎藤ウィリアム浩幸氏、内閣府などの参与辞任」(2017/12/22)
https://www.asahi.com/articles/ASKDQ54FVKDQUTFK013.html
4 ヘルスケア IT ニュース「106,000 人分の情報が第三者から閲覧可能に」(2017/08/30)
http://www.healthcareitnews.com/news/106000-patient-records-potentially-breached-3rd-
party-vendor
5 HIPAA とは米国における医療保険の相互運用性と説明責任に関する法令の略称である。
6 アンセム「当社におけるサイバーアタックについて」(2015/02/05)
https://www.anthem.com/press/wisconsin/statement-regarding-cyber-attack-against-
anthem/
7 ダークウェブとは政治活動や犯罪に使用され得る匿名で実質的に追跡不可能なグローバ
ル・ネットワークの事である。