NHSが職員に患者データへの不正アクセスを警告

英国の医療サービス機関は、正当な理由なく患者データにアクセスした職員が有罪となった場合、禁錮刑を科される可能性があると警告しました。

NHSのトップを務めるJim Mackey氏は、医療記録への不適切なアクセスについて「全く容認できるものではなく、患者の信頼を裏切る恥ずべき行為であり、法律違反でもある」と述べました。

この発言は、NHSが医療機関向けに不正アクセスの防止・監視・報告に関する新しいガイダンスを策定するとともに、職員向けの新たな啓発キャンペーンを開始したことを受けたものです。

「好奇心でキャリアを台無しにしないように」と職員に呼びかけるこのキャンペーンは、最近NHS職員が実際にそうした行為に及んだとされる、いくつかの注目度の高い事案を受けて始まりました。

5月には、2023年のノッティンガム刺傷事件の被害者の記録に不正アクセスしたとして、職員11人が解雇され、14人が文書による警告を受けました。その1カ月後には、ケンブリッジシャーの病院で、重傷を負った子どもの記録に正当な理由なく約40人の職員がアクセスしていたことが判明し、調査が開始されています。

医療業界を狙うデータ脅威についてさらに読む: Insider Cloud Data Theft Plagues Healthcare Sector。

データ保護法に違反しているのは、NHS職員だけではありません。先月、情報コミッショナー事務局(ICO)は、キャサリン皇太子妃の医療記録にアクセスし販売しようとしたとして、ある元医療従事者に正式な注意処分を下しました

この事案はロンドンの私立病院で発生しました。

技術的な管理策の導入を求められるNHS各組織

データアクセスに関するNHSのガイダンスは、不正アクセスのさまざまな類型について説明し、こうした事案が発生した場合、職員はICOおよび警察に報告され、刑事訴追の対象となる可能性があることを明確にしています。また、医療業界でのキャリアを失うリスクも伴います。

さらに、このガイダンスでは、NHSの各組織が不正アクセスをどのように監視し、定期的な監査をどう実施できるかについても説明しています。新しい電子患者記録システムでは、こうした事案をリアルタイムで検知できるとしています。

ITチームに対しては、最小権限の原則の徹底、多要素認証(MFA)、ロールベースのアクセス制御など、そもそもこうした事案が発生しないようにするための技術的な管理策を導入するよう求められました。

ICOの最高経営責任者(CEO)、Paul Arnold氏は、医療データは個人が保有する情報の中でも特に機密性の高いものの一つだと述べています。

同氏は「記録を閲覧できることと、閲覧する正当な必要性があることは同じではありません」と付け加え、こう続けました。「すべての職員には、その境界線を尊重する個人的な責任があり、すべての患者には、それが守られることを期待する権利があります。この信頼を裏切った職員は、雇用の喪失、専門資格の剥奪、刑事訴追といった重大な結果に直面することになります」

Check Pointで公共部門部門責任者を務めるGraeme Stewart氏は、今回のキャンペーンは、あらゆる組織が直面するインサイダーリスクを改めて思い起こさせるタイムリーなものだと述べています。

同氏は「NHSはここ数年、ランサムウェアや、Synnovisを襲った事案のようなサプライチェーン攻撃、国家の関与が疑われる攻撃といった外部脅威への対応に重点的に取り組んできました。それ自体は正しい判断です。しかし今回の件は、ゼロトラストと最小権限アクセスという同じ原則を、外部だけでなく組織内にも適用する必要があることを示しています」と付け加えました。

「NHSが電子患者記録の展開を一段と拡大し、患者データをトラスト間でより共有しやすくすることを目的としたFederated Data Platformのような取り組みを進める中で、このリスクはさらに大きくなっていくでしょう」

翻訳元: https://www.infosecurity-magazine.com/news/nhs-warns-staff-unauthorized/

ソース: infosecurity-magazine.com