出典:JR Bale / Alamy ストックフォト
医療詐欺の事例は増加している。患者や介護者の個人を特定できる情報を悪用したり、金銭的利益のために請求サービスを操作したりするものもあるが、より大きな懸念として、在宅介護従事者が偽の身元を使い、自分の代わりに資格のない友人や親族をシフトに送り込むケースが増えている。
なりすましは新しい脅威ではないと、バイオメトリクス企業Daonで戦略的イニシアチブ担当社長を務めるConor Whiteは言う。しかし、CISOや医療分野のリーダーと話す中で、繰り返し目にしてきたテーマだという。
Whiteが虐待(不正)の報告を初めて耳にしたのは10年前で、匿名企業の最高医療責任者(CMO)だったパートナーからだった。より最近では、Daonが大手医療提供者と契約し、同社のデジタルIDベンダーのサービスを別のユースケースで利用することになったと彼は述べた。その組織は、偽の身元を使う無資格の医療従事者が患者をケアするという問題も解決できると気づいたという。
Whiteは、生体認証とジオフェンシングによる検証を組み合わせ、正しい人物であることと、その時点で現場にいることを確認する検証策が有効だと勧める。 しかし問題は続いている。
「残念ながら、人々は必要なサービスを受けられず、病状がはるかに悪化している」と彼は警告する。「場合によっては亡くなっている。」
ほんの一例
先進国で高齢者人口が急増するにつれ、介護者の需要は拡大し、多くの国—特に米国—で医療分野の労働力不足が生じている。この逼迫した労働市場により、在宅介護分野は不正の温床になりやすい。
米国保健福祉省監察総監室(OIG)の年次報告書は、「パーソナルケアサービスの介助者が関与する詐欺の有罪判決数は、他の提供者タイプより著しく多かった」と指摘した。介助者は2024年に298件の有罪判決を占めた。
米国および海外の報道は、この問題が広範に及んでいることを示している:
-
オハイオ州司法長官室は11月、メディケイド提供者9者を詐欺で起訴した。在宅介護ヘルパーの被告の1人は、他の容疑とともに「自分の代わりにサービスを提供させるため、資格のない人物を送り込んだ」と обвинされた。
-
10月、英国はLucius Njokuという男性に対し、女性看護師になりすましたとして懲役16週間を言い渡した。被告の友人であるその看護師が、Njokuに対し自分の身元を使ってシフト勤務をさせたとされる。
-
メイン州では、Gateway Community Services Maineの元従業員が、同非営利団体が「移動を追跡するために設計された電子監視システム」を操作し、現場スタッフが訪問していないのに利用者を訪問しているかのように見せかけたと主張したことを受け、最近対立が起きた。
-
Sky Newsは報じた。ある患者は、在宅介護者がカテーテルの扱いに手間取っていることに気づき—これは業務で比較的一般的な作業だ—不審に思ったという。最終的に患者は本物の介護者を突き止め、その介護者は身元を使わせたまま、訓練を受けていない友人に代わりに仕事をさせたことを認めた。さらに、その代理店が一度も対面で会わなかったため発覚せずに済んだと述べた。
「悪化する一方だ」
これらのケースで身元詐欺を行うために、パーソナルケアアシスタント(PCA)は、代わりに入る友人や親族に自分の電話とログインパスワードを渡し、健康状態の確認(ウェルネスチェック)を実施したように見せかけることがある。通常、システムは電子訪問確認(EVV)として知られる仕組みで、端末の位置情報データを用いて、従事者が当該患者を訪問したことを検証する。
位置情報は有効だが、正規ユーザーのユーザー名とパスワードを誰かが持っていれば欺けてしまう、とWhiteは言う。だからこそ医療機関は、生体認証と位置確認を組み合わせた多面的なアプローチを採用し、「悪化する一方」の問題を抑え込むべきだと彼は勧める。
「生体認証は良いが、端末にひも付けたい。そうすれば、適切な人物が適切なタイミングで行っていると分かる」とWhiteは説明する。「不正を行うのがずっと難しくなる。」
同様のIDおよびアクセス管理の課題は他の分野にも及んでいると、One IdentityでグローバルID・アクセス管理ストラテジストを務めるAlan Radfordは言う。彼は医療分野で偽のPCAを目にしてきたが、建設、清掃サービス、ホスピタリティ(接客・宿泊)など、個人が特定の場所にいる必要があり認証も必要となる仕事にも影響しているという。
「私たちがデジタル世界に生きていて、物理世界の障壁が崩れつつあるという事実を直視すべきだ」とRadfordは言う。 「医療以外にも影響を受ける業界は多く、解決策は業界ごとに異なる。」
より厳格な本人確認プロトコルを導入し維持することは、攻撃者への対策にもなる。脅威アクターの観点では、アクセス手順が増えるほど、別の場所で不正を働くために移っていく可能性が高まる。
身元詐欺はあまりにも簡単にできてしまうのか?
こうした種類の身元詐欺の動機はさまざまだ。すべてが悪意によるものではない。「全員が麻薬王や黒幕というわけではない」とWhiteは言う。
場合によっては、PCAはただ給料を得ようとしているだけで、患者は放置しても大丈夫だと考えてしまう。しかし、その影響は深刻になり得る。
「あるケースでは、ある人物が、母親が骨に達するほどの潰瘍ができ、やせ細っているのを見つけた。世話がされていなかったからだ」とWhiteは言う。「彼女は亡くなった。」
在宅医療従事者による身元詐欺の事例は複数の場所からDaonに報告されているが、それでもこれほど簡単に実行できてしまうことには驚かされる、とWhiteは付け加える。より強固なセキュリティ対策を徹底している提供者や州は少ない。「コンプライアンスのチェックボックスを埋めているだけで、実際の実装が伴っていないように感じる」と彼は言う。「身元を“出来事”として捉えるのをやめる必要がある。これは継続的な
