内部者によるサイバーセキュリティ脅威を調査した最近の研究により、適切な金額が支払われるのであれば、大学生の過半数がHIPAA規則に違反し、患者データを盗み出して開示することに応じる可能性があることが明らかになった。必要とされる金額は1万ドル未満から1,000万ドル超まで幅があった。この研究は、バッファロー大学(University of Buffalo)経営科学・システム学部の名誉教授ローレンス・サンダース氏と、同大学スクール・オブ・マネジメントの同僚らによって実施され、医療プライバシー侵害の「価格」を探った2020年の研究を踏まえたものである。
JMIR Medical Informaticsに掲載された2020年の研究は、まもなく労働市場に参入する523人の学生(平均年齢21歳)を対象に実施された。回答者には、自分が病院に雇用されたと想定するよう求められ、機微な健康情報を違法に入手して開示するかどうかを問う5つのシナリオが提示された。回答者の46%は、金額次第ではHIPAAと患者のプライバシーに違反すると認めた。シナリオの1つでは、保険ではカバーされない母親の実験的治療費を支払うために金が必要だという状況で、10万ドルと引き換えに政治家の診療記録を入手して開示するかどうかが問われた。回答者の79%が「する」と答えた。
サイバーセキュリティの内部者に焦点を当てた追跡研究は、医療業界の将来のIT従事者を代表する、技術関連プログラムに在籍する学部生500人を対象に実施された。参加者には、自分が病院に雇用され、年収3万ドルから10万ドルの給与を得ており、金銭的ストレスを抱える中で、病院の有名患者に関する情報を入手して漏えいするよう持ちかけられた、と想定するよう求められた。
参加者には、HIPAAおよび、連邦法が保護対象保健情報への無断アクセスと無断開示を禁じていることが説明された。それにもかかわらず、58%が、報酬と引き換えにHIPAAに違反すると回答した。必要とされる金額はケースによっては1万ドル未満であり、誘惑されるかどうか、そして必要金額は、従業員の給与水準と、発覚する確率の認識によって異なった。従業員の給与が高いほど、HIPAAに違反してデータを盗むために必要な金額も高くなった。倫理的ハッキングに関心のある個人は、一般的にHIPAAに違反するために必要な金額が少なかった。また、非倫理的ハッキングに関心のある個人についても、発覚しないと保証される場合には同様に必要金額が少なかった。
この研究は、内部者によるデータ侵害のリスクと、HIPAAプライバシールールの要件およびHIPAA違反の結果についての教育の重要性を浮き彫りにしている。違反が発覚した場合、HIPAA違反の結果は深刻になり得ることを、すべての従業員に明確に伝える必要がある。
「サイバー攻撃とデータ侵害が増え続けており、とりわけ医療やその他のデータ集約型セクターで顕著です。私たちの知見は、従来の技術的統制と並行して、組織がサイバーセキュリティの人的・経済的側面に取り組む必要性を示しています」とサンダース教授は述べた。「意識向上と教育を促進することで、それに伴う負の結果やリスクを強調し、人々がサイバー犯罪に関与することを思いとどまらせることができます。経済的機会、社会的包摂、サイバーセキュリティ・リテラシー、そしてより安全なデジタル環境を促進する取り組みは、解決策の一部です。」
翻訳元: https://www.hipaajournal.com/college-students-would-violate-hipaa-for-money/
