被害者でありながら罰金刑?--対岸の火事ではない
米国では、ランサムウェアに侵入されるということは、上記のように院内業務が混乱に陥った上に金銭被害に遭うというばかりではなく、病院自身が罰金刑を受ける危険性がある。
「HIPAA」という法律が存在するからである。HIPAA(Health Insurance Portability and Accountability Act=医療保険の携行性と責任に関する法律)は、医療保険手続き標準化によるコスト削減と全米統一プライバシールールの策定を目的に策定された法律だ。
プライバシールールという言葉が示唆している通り、この法律は患者の権利を非常に重視している。
HIPAAでは、患者には3つの権利があるとする。1つめは自分の医療記録を検査、閲覧し、コピーを請求できる「開示請求権」、2つめは閲覧した医療記録の内容に誤りがあれば訂正を請求することができる「訂正請求権」、3つめは過去6年間にわたり自らの医療記録がどのように利用され、誰に提供されたかについて説明報告を受ける権利だ。
HIPAAでは、プライバシー保護担当者を置くことが必須とされており、患者に通知する書面には、その名前と連絡方法を必ず記載しなければならない。
この法律に違反した場合の罰則は非常に厳格で、1つの違反につき100ドル~5万ドル(約1万1300~566万円)の罰金が科せられることになっており、複数違反項目があればそれだけ罰金が累積される。
ランサムウェアでEMRシステム上のデータを人質に取られるということは、このHIPAA違反とみなされうる。ひょっとすると暗号化の過程で犯人がデータを盗み見たのかもしれない。これは重大なプライバシー保護違反であるとともに、病院はデータが誰に提供されたか正確に説明できない事態を生じさせてしまった。
これは日本の医療機関にとって対岸の火事ではない。「日本にHIPAAはない」と思われるだろうか。
しかし、個人情報保護法が存在する。その第20条には、「個人情報取扱事業者は、その取り扱う個人データの漏えい、減失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」とある。医療データが究極の個人情報であることを否定する医療関係者はいないだろう。
さらに、わが国でもマイナンバー制度がスタートした。医療・介護の世界でも、個人番号が高度にパーソナルなデータであることなどを鑑みて、マイナンバー制度とは別の番号制度、別の個別法の制定が議論されており、その日程も2017年7月以降などと具体的に挙げられている。
ランサムウェアから身を守るにはシステムバックアップ
ランサムウェアから身を守る方法は以下の2つしかない。
- ランサムウェアに侵入されない
- ランサムウェアに侵入されても無事に脱出できる対策を取っておく
1.を完璧に実施するのは難しい。敵は大抵、何気ないメールの振りをしてやってくる。添付ファイルがついていて、それは一見、論文やデータ資料のように見えるかもしれない。
しかし、メール受信者が信用しきってクリック、開封したとたん、ランサムウェアは暗号化可能なファイルというファイルに向かって襲いかかっていく。このメール受信者を欺くテクニックは高度化の一途を辿っており、ユーザー教育が追いついていないのが実情だ。
とすると、取るべき方策は必然的に2.ということになる。具体的な手法はシステムバックアップの強化だ。実際、ランサムウェア被害から逃れる方法はこれしかない。日ごろからバックアップデータを十分に備えておけば、PCやサーバがランサムウェアに侵入されても、その環境に執着することなくシステムを再構築して業務を再開できるからだ。
