サードパーティによるセキュリティ脅威は、医療セクターが直面する最も重大なリスクの一つだ。大手マネージド・ヘルスケア企業の元CISOで、現在は独立コンサルタントのリック・ドーテン氏は、ベンダーによる人工知能の利用拡大が、サードパーティに関する懸念に新たな層を加えていると述べた。
HIPAAで保護される医療情報を扱う医療セクターのベンダーについては、これらの企業がAIモデルをどのように使用しているのか、どのようなデータを収集しているのか、そしてAIベースのエージェントが機微なシステムやアカウントとどのように相互作用するのかを、医療セクターの顧客が精査すべきだとドーテン氏は述べた。
「どのAIモデルを使っていますか? それは公開ですか? 非公開ですか? AIを活用するプラットフォームを使っていますか? これは分析のために行っていますか?」といった質問は、医療セクターの組織がサードパーティの請負業者に投げかけるべき問いの一部だと同氏は述べた。
「重要なのはデータの保護だけでなく、データの適切な利用です」と同氏は述べた。「AIが収集すべきでないPHIを収集していないか? エージェントを使って、プロセス上は不要かもしれないのに、ログを取ったりアカウントを使用したり、情報へのアクセス権を持ったりするような処理を行っていないか。つまり、やっていることすべての“網”に引っかかる形で、そうしたものが一緒に持ち込まれていないか」と同氏は述べた。
Information Security Media Groupとの音声インタビュー(写真下の音声リンク参照)で、ドーテン氏は次の点についても議論した:
- 破壊的なセキュリティインシデントにおけるベンダー対応;
- 小規模病院やその他の医療提供者が全体的なサイバーセキュリティリスクをより適切に管理するのに役立つリソース;
- 多くの規制対象組織にとって、HIPAAのセキュリティリスク分析の実施がなぜこれほど難しいのか。
ドーテン氏は、Centene Corp.の元CISO兼情報セキュリティ担当副社長である。以前は、国際企業を支援するバーチャルCISOとしても勤務した。Cloud Security AllianceのCXO Trust Advisory Councilのメンバーであり、地元シャーロットのISC2およびCSA各チャプターの理事も務めている。複数のベンチャーキャピタルおよび市場投入(GTM)企業と協働してセキュリティ技術の評価を行うほか、複数のスタートアップのアドバイザリーボードにも参加している。
