fbpx

ヘルスケア業界向け:データ損失防止(DLP)のベストプラクティス

連邦、州、地方の管轄区域にまたがって変化し続ける規制の網により、医療機関は、ePHI(電子的に保護された健康情報)を含む患者データを保護することが求められています。2013年9月23日、すべての医療機関は、ePHIデータの暗号化と保護に関する要件を概説したHITECH Omnibus Final Ruleの遵守を法律で義務づけられました。さらに、セキュリティ侵害を受けたり、ePHIデータを紛失したり、災害後に十分な迅速な復旧ができなかったりした医療機関は、公民権局(OCR)の調査を受け、数百万ドルの罰金を科せられる可能性があります。

医療機関にとっての記念碑的な課題は、安全なデータ処理を一貫して確保しながら、複数の組織にまたがってより質の高いケアをより速いペースで提供するために、医療従事者に課せられた要求の加速をサポートすることです。ネットワークの境界にファイアウォールを構築するだけでは、ステルス攻撃や高度な永続的な脅威に対して効果がありません。ゼロトラストと呼ばれる新しいセキュリティモデルの実現がまさに求められている領域なのです。サイバー犯罪者は、組織のネットワークに侵入し、弱点を突いて、発見されるまでに数週間から数ヶ月もの間、データを侵害する可能性があります。サイバー犯罪の攻撃は、ここ数年で劇的に増加しています。健全なデータ損失防止(DLP)のプラクティスとプロセスを採用することで、データの安全な取り扱いを確保し、臨床スタッフが必要とする柔軟な環境を提供し、組織が厳格なOCR監査を簡単かつ確実に通過するのに役立ちます。

データロス防止の第一歩

知らないものは守れない

医療機関では、データは常に作成、複製、変更、移動、拡散されています。セキュリティやコンプライアンスを担当するIT部門は、自分たちが本当に保護する必要のあるデータや組織にとっての価値を十分に把握していないため、内部データの拡散が問題となっています。IT部門は、すべてのePHIデータがどこに保存されているのか、誰が所有しているのか、どのように使用されているのか、誰がアクセスできるのかを把握していません。自分が持っていることも、どこにあるのかも、誰がアクセスしているのかもわからないものを守ることはできません。

モニタリング技術による視認性の向上

データ損失防止(DLP)ソリューションを導入する初期段階では、ネットワーク全体で動いているデータをリアルタイムで収集、追跡、レポートできる監視技術を導入することが重要です。このようなツールを使用すると、情報が組織の内外をどのように移動しているかを知ることができ、収集されたデータは潜在的なリスクを特定し、データセキュリティ態勢を強化するための計画をサポートするのに役立ちます。データを理解することで、試行錯誤することなく、適切なコストで適切なデータを保護するための適切なポリシーを構築することができます。

分類によるデータの発見と修正の高速化

ePHIのような機密データは、何千台ものサーバーや何百万ものファイルに散らばっており、かなりの量の未知のコンテンツと混ざっている可能性があります。1つの選択肢として、すべてのサーバ上のすべてのファイルを開く大規模なディスカバリ・スキャンを実行することがあります。この方法は非常に時間がかかり、調査に時間と費用がかかる潜在的なセキュリティ違反や誤検知の膨大なリストを生成します。

より良いアプローチは、完全なディスカバリスキャンの前に、サーバー上のファイルを分類して分類することです。例えば、ファイルのメタデータ(ファイルの所有者、ファイルタイプ、ファイルサイズ、ファイルの所有者、共有名、カウント、その他の情報)のみに基づいて、より迅速なインベントリ スキャンを行うことができます。計算量の多いファイル全体ではなく、ファイルのメタデータのみを分析するため、インベントリのステップを迅速に行うことができます。ファイルが分類されると、DLP ポリシーを適用して、分類されたコンテンツの分析を実行することができます。その結果、是正措置のワークフロー(例えば、サーバー1には、注意が必要なePHIデータを含むMicrosoft Excelファイルが10個あるとします)をより合理化することができます。データを分類するためのスケーラブルで迅速な方法を提供し、偽陽性を抑えてリスクを低減することができるデータ分類エンジンを内蔵したデータ発見および修復ソリューションを導入することが重要です。

多くの病院では、IT 部門は、ePHI やその他の機密情報の保管場所であることが多いニッチな部門のシステムの管理を意識しておらず、積極的にも取り組んでいません。拡張可能で効率的な発見プロセスは、IT 部門が孤立した補助システム内のデータを探し出し、特定し、分類するのに役立ちます。さらに、このディスカバリーの取り組みは、より良いプラットフォーム管理へと発展し、バックアップパッチ適用プライバシー監査、環境セキュリティの懸念などの重要なタスクが適切に対処されることを保証します。

DLPはプログラムとプロセス

ほとんどの組織は、DLPを純粋に技術的な問題として考えています。彼らは、DLP技術を導入すれば問題が解決すると思い込んでいます。しかし実際には、DLPシステムを導入することは、より広範なデータ保護プログラム(例:GDPR)の一部であると言えます。壊れたビジネスプロセスの中に最高の DLP 検出技術を導入しても、機密情報が予期せぬ制御不能な方法で組織外に流出するのを防ぐことはできません。

データ保護意識向上プログラム

DLPソリューションを導入する際には、従業員のデータ保護教育と意識向上のためのプログラムを導入することをお勧めします。このプログラムを活用して、ePHIの取り扱いに関する従業員の行動を修正します。

一般的に、病院の従業員はセキュリティに対する意識を高めていないため、ePHIの誤用や侵害の可能性があります。職員が正しい行動を取りやすくすることは、慣れない行動を取り締まるよりもはるかに大きな成功につながります。例えば、モバイルデバイスやウェブアプリケーションを介してePHIを転送しようとする際に禁止または認証を要求することは、患者の安全性をより確実にするためにクローズドループの投薬管理を実施することと大差ありません。

ガバナンス

ITがDLP技術プラットフォームとその構成を維持することが重要です。しかし、ビジネスルールの決定やデータ損失(違反)イベントの解決は、ビジネスユニットが責任を持って行うべきである。DLP技術ソリューションを決定または実装する前でも、ビジネスユニット、コンプライアンスおよびプライバシーチーム、CIOの主要な利害関係者は、明確に定義された役割と責任(誰がインシデントを閲覧して対処するためのアクセス権と権限を持つか、データガバナンスのコミュニケーション計画は何か、ベンチマーク指標は何か)について合意しなければなりません。

お客様の環境に合わせたDLPポリシー

一般的に、サイバー犯罪者はマルウェアをインストールしてデータを収集・流出(輸出)させます。多くの業界専門家は、侵入防止システム(IPS)や次世代ファイアウォールなどの高度な脅威検知や回避対策技術について語っていますが、マルウェアが侵入した場合のことではなく、マルウェアが侵入した場合のことを「いつ」考える必要があります。あなたはどうしますか?DLPは防御の最後のインラインレイヤーです。

ヘルスケア向けのDLPテクノロジーソリューションには、環境に合わせた以下の機能が含まれている必要があります。

  • 医療機関向けに特別に設計されたDLPポリシーテンプレート
  • HL7 v2、HL7 v3、ePHI を識別するためのカスタマイズされたプロトコル・ハンドラを X12 経由で送信
  • 主要ベンダーのアプリケーション・ポートフォリオに特化したコネクタ Siemens、Cerner、EPIC、Meditech、GE Health Systems、およびMcKesson
  • コンテンツソースにマッピングされたコンテンツソースと違反に基づいてカスタマイズされたレポートを作成し、ヘルスケア電子カルテ(EMR)システムに関連する誤検知を改善・削減します。
  • 特定の医療コードセット(HCPCSICD-9ICD-10LOINCNDC)をビルトイン辞書として使用し、患者データが不用意に組織から離脱するのを防ぎます。
  • エンドポイントからネットワークへ、ゲートウェイ(メール/ウェブ)を介しての統合

世界クラスのDLPソリューションは、組み込みテンプレートを使って迅速に導入できるだけでなく、データを理解し、壊れたビジネスプロセスを特定し、ePHIやその他の機密ファイルを完全かつ迅速に保護するための柔軟なツールを提供することができます。このソリューションは、規制コンプライアンスの達成と維持を支援し、監視と管理を行い、監査人、開業医、患者の信頼を維持するのに役立ちます。

時間を節約できるDLP

日々の管理が簡単で、迅速に導入できるDLPテクノロジーソリューションが必要です。エンドポイントとネットワーク コンポーネントを緊密に統合し、USB ドライブからネットワークの境界線に至るまで、機密データを確実に保護できるソリューションをお探しください。ポリシーを設定し、インシデントや違反を自動化されたワークフローで管理できる単一のコンソールを持つことで、時間を節約し、コストを削減することができます。また、ユーザーの力も忘れてはいけません。管理者の負担を軽減し、従業員のデータ保護意識を高めるために、ユーザー救済コンソールとユーザータグ付けを提供するDLPエンドポイントソリューションを選択してください。

要約

ePHI侵害を経験した医療機関にとって、財務、法律、広報のリスクは増加の一途をたどっています。現在の医療環境では、健全なDLP戦略を採用することが非常に重要です。どのようなデータを所有しているのか、誰がそのデータにアクセスできるのかを理解することは、ePHIをより良く管理するための最も重要な第一歩です。データを適切に分類し、モニタリング技術を活用してデータの位置と動きを継続的に追跡することが不可欠です。

 

SNSでもご購読できます。

コメントを残す

*