医療現場で進むBYOD、患者のプライバシー情報をどう守る?規制とセキュリティのバランス(1/2 ページ)

医療分野でのITの導入が進んでいるが、患者のプライバシーに関わる情報を多数扱うことから、規制への対応などセキュリティの運用が難しい。医療ITが進む米国では、現場の情報セキュリティをどう担保しているだろうか。

» 2015年05月20日 08時00分 公開
[末岡洋子ITmedia]
photo ジャクソン・ヘルスシステムで最高情報セキュリティ責任者を務めるコニー・バレラ氏

 電子カルテや遠隔医療など“医療のIT化”が叫ばれて久しいが、医療現場は患者のプライバシーに関わる情報を扱うことから、規制の順守やセキュリティ対策といった難題が多いのも事実だ。

 医療ITが進む米国では、医療現場のセキュリティをどう担保しているのか。米Citrix Systemsの年次イベント「Citrix Synergy 2015」で、米大手ヘルスケア施設「ジャクソン・ヘルスシステム(Jackson Health System)」の最高情報セキュリティ責任者(CISO)を務めるコニー・バレラ(Connie Barrera)氏が、そのポイントについて語った。

 フロリダ州マイアミにあるジャクソン・ヘルスシステムは、ジャクソンメモリアル病院など複数の病院やケア施設で構成される全米で3番目の規模を誇る総合ヘルスケア施設だ。約1万1000人の医師、看護師が常勤で働いている。

 バレラ氏はまず「医師が最も気にしているのは患者のこと。セキュリティについて考える時間はない」と断言。そのため、医師たちが特別な行動をせずともセキュリティが守られる仕組みが望ましいと話す。同病院では、Citrixのアプリケーションデリバリー技術「XenApp」と、アクセス制御製品の「NetScaler」を採用して対策を講じている。NetScalerは組織内でのアプリ運用で使うだけでなく、トラフィック管理などさまざまな機能を備えることからセキュリティ対策にも有効だという。

 「医師たちは、学会などに出席するために世界中を移動するが、攻撃は高度化しており、いったん攻撃者が内部に入ると、もう足取りを追えなくなる。NetScalerを使えば、誰がどこからアクセスしているのかが分かり、同じユーザーのログオンが別の場所で起こるといったような異変も検出できる」(バレラ氏)。

photo ジャクソン・ヘルスシステムが経営するジャクソンメモリアル病院

医療現場のBYODにどう対応するか

 また、セキュリティに関わる問題として、病院でも一般的な企業と同様にBYODやコンシューマライゼーションへの対応が迫られている。ジャクソン・ヘルスシステムでも、いつでもどこでもデータにアクセスしたいという要望や、自分が使いたくない端末を受け入れないといった課題を抱えていたそうだ。

 IT部門が端末を指定しても、結局医師らは使いたい端末を使ってしまう。そのため「“端末”ではなく、“ユーザーが使いたいデバイスを使える環境”を用意することがわれわれの仕事になる」(バレラ氏)という。業務の都合上、他の研究機関や病院、検査機関とやりとりする中で、国内外を問わずにデータ共有が必要となる場面も多い。このようなニーズにも応える必要がある。

 「ユーザーはポリシーで特定の機能が禁止されている場合、その機能を使わないと諦めるのではなく、新たな“抜け道”を探し出す。多くの場合、それはリスクにつながる」とバレラ氏は語る。そこでジャクソン・ヘルスシステムでは「XenMobile」とデータ共有ソリューション「ShareFile」で、いつでもどこでも自分が知りたいデータにアクセスできる“自由”を与えたという。

 「どこでも働ける――つまり、ユーザーを応援するようなアプローチが必要だ。XenMobileはデータ、デバイス、アプリの管理を細かに行えるほか、管理者はデバイスとアプリの両方のレベルでセキュリティ対策を施せる」(バレラ氏)。

 患者に最適なケアをタイミングよく提供する、という病院ならではのニーズもあり、医師らユーザーが“自由”にデバイスを使えることは大切だとバレラ氏は強調する。もちろんユーザーにとって使いやすいシステムであることも重要だ。「ユーザーは使いやすくない技術なら利用しない。そして、市場に出回っている使いやすいサービスに流れてしまう」(バレラ氏)。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ