英国NHS(National Health Service)職員・セキュリティ対策を全く講じていないか、または不十分な職員が3分の2近くに・半数の職員が個人用の機器にデータを保存するなどセキュリティの基本を犯す実態が明らかに
※ 本資料は、2006年6月27日にスウェーデン ポイントセック・モバイル・テクノロジー社より発表されたプレスリリースの抄訳です。
「医療機関における携帯記憶装置機器の使用状況」に関するこの調査は、スウェーデンのセキュリティソフトウェア大手Pointsec Mobile Technologies(ポイントセック・モバイル・テクノロジー、以下、ポイントセック)社とBritish Journal of Healthcare Computing(ブリティッシュ・ジャーナル・オブ・ヘルスケア・コンピューティング)誌が共同で実施したものです。
この調査結果によると、データ保存に使用されている機器の5分の1には、全くセキュリティ対策が講じられておらず、さらに5分の2はパスワードによるアクセス管理にとどまり、ハッカーに対するセキュリティが不十分であることが判明しました。インターネットからダウンロードした基本的なハッカー・ソフトウェアを使えば、基本的なパスワードは数秒で解除できます。
パスワードに加えて暗号やバイオメトリクス(生体認証)、スマートカード、二要素認証など別のセキュリティ技術を使用していた回答者は、わずか4分の1でした。調査の回答者は情報責任者、IT責任者、医療専門家その他さまざまな職名の方々で、計117人のうち3分の2がNHS職員、4分の1が医療分野と取引のある供給業者でした。
データのダウンロードに使用される携帯機器として医療分野で最も人気が高かったのは、USBメモリスティック/メモリカード(76%)でした。続いてラップトップ/タブレットPC(69%)、PDAなどの携帯端末(51%)、スマートフォン(9%)、携帯電話(2%)の順となっています。最近ではこれらの機器のみならず、技術の進歩によってギガビット単位のデータ保存がMP3プレーヤーやデジタルカメラ、ボイスレコーダーなどでも可能になりました。USBメモリスティックやメモリカードといった小型・大容量ストレージデバイス(記憶装置)が入手しやすくなったことで、患者の個人情報や記録、また医療団体や組織、企業の機密データなどのデータを上司や同僚に気づかれずに大量に持ち運ぶことが極めて容易となっています。
全体では回答者の42%が、使用機器の少なくとも1つは私有機器だと回答しましたが、NHS職員では半数が日常的な業務に私有機器を使用していました。保存データの種類として最も多かったのは個人的な連絡先データ(80%)でしたが、4分の3は仕事関係の連絡先データを保存していました。また、企業データを保存している人は3分の2近くにのぼり、調査対象の医療従事者のうちセキュリティデータ(パスワードやPIN番号、銀行口座データなどが含まれる可能性があります)を保存している人は5分の1もの割合に達しました。
医療専門家の約半数は患者の個人情報や記録を携帯機器に入れて携帯していました。また、医療専門家の過半数はパスワードだけをセキュリティ対策として使用していました。一人の医師は、「パスワードに患者の一人のイニシャルを」使用しているからセキュリティは大丈夫だと述べました。5分の2は、より高度なセキュリティを使用していましたが、全くセキュリティ対策を講じていない人も少数いました。回答者のコメントの中には、紛失や盗難、濫用の可能性はきわめて低いとするものもありました。なかには、「私の患者には脅迫を受けても応じられるだけの経済力がないから、[自身の医療記録について]他人に知られてもおそらく気にしないだろう」とのコメントもありました。また、セキュリティリスクは書類に記録する場合と変わらないと思うというコメントが2件ありました。
患者データが携帯機器に保存されていることに対して懸念を表明した人は半数以上にのぼりました。最大の懸念は、機器の紛失・盗難が起きた場合に、患者との守秘義務に違反すること(57%)と、情報が「悪意のある人の手に渡って濫用される恐れがある」(50%)ことでした。しかしその反面、まだ多くの人が懸念を表明しておらず、セキュリティが十分だと考えていたことにもなります。
機器の紛失は驚くほど多発しています。回答者の4分の1は機器紛失を経験したことがあり、ほぼ同数の人が機器を紛失した同僚を知っていました。しかし約半数は、紛失した機器が見つかっており、紛失によって何らかの影響があったと答えた人は皆無でした。紛失の理由として自動車事故を挙げたケースも1件あり、「おそらく、水で満たされた深い排水溝の底にあるだろう」とのコメントが添えられていました! しかしながら、同僚の中には懲戒措置を受けた人もあり、地方当局の首長所有のPDAを紛失して懲戒解雇となった人も一人いました。
本調査では、多数の人が個人所有の機器に仕事関係の連絡先や企業データ、あるいは医療記録などのデータを保存して携行している実態が明らかになりました。これはセキュリティポリシーの基本的な違反にあたります。3分の2の機器は、全くセキュリティ対策が講じられていないか、または不十分であり、セキュリティリスクに対する認識が多数のユーザーの間で欠如していると指摘できます。組織内にセキュリティポリシーがあると回答した人は約80%でしたが、調査結果を見れば、セキュリティポリシーには携帯機器に関わるリスクへの対応やポリシーの徹底方法に広範かつ深刻な問題があることが明白です。
ポイントセック英国のマネージング・ディレクターであるマーティン・アレン(Martin Allen)は、次のように述べています。「電子医療記録の保管に対して患者が懸念していることを示す資料は数多く存在します。今回の調査では医療セクター自体が、NHSトラストによるセキュリティ対策を受けていない携帯機器への医療データの保存に対して懸念を抱いていることが明らかになりました。現在、携帯機器を盗むなどして悪意ある目的で情報にアクセスすることは非常に簡単ですから、これらの弱点が悪用されるのは時間の問題でしかありません。携帯機器はセキュリティネットをすり抜けてしまっているように思われます。セキュリティを業とする当社の立場としましては、機密情報の記録や患者の個人情報の記録をダウンロードするNHSトラストおよびその関連組織はすべて、データを自動的に暗号化することが焦眉の課題である、と申し上げたいと思います。そのことによってセキュリティは問題ではなくなり、習慣化されて、意識しなくてもごく自然にセキュリティ保護が実現できるようになるでしょう」
以上
<Pointsec Mobile Technologies ABついて>
Pointsec Mobile Technologies ABは、スウェーデンのストックホルム株式市場で上場しているProtect Data(プロテクトデータ)社の100%子会社として1988年に設立されました。世界中の一流企業や政府機関が「Pointsec」の顧客です。2005年6月に日本法人を設立し、現在、米国に2箇所、ヨーロッパに9箇所、アジア・パシフィック地域に2箇所のオフィスを持ち、また、中東のドバイにもオフィスを構えています。URL: (リンク »)
ポイントセックの暗号化ソリューション「Pointsec」は、グローバルマーケットでの顧客数の多さ、業界最高レベルの認証システムで、PCからPDA、携帯電話、リムーバブルメディアなどあらゆる機器をカバーする充実した製品ラインアップなどによりモバイル機器のセキュリティにおけるデ・ファクト・スタンダードとなっています。「Pointsec」は、企業の機密情報を保護する上で最も脆弱な場所であるモバイル機器において確かなセキュリティを保証するために、データの自動暗号化という信頼性の高いソリューションを提供します。ノートPC、PDA、スマートフォンやリムーバブルメディアに記録される機密情報を安全に保管することにより、企業や政府機関は、自らのブランドイメージを保持、向上できるだけではなく、情報漏えいのリスクを最小限に抑え、機密情報や情報資産を保護し、顧客や株主からの信頼を高めることができます。
【日本法人ポイントセック株式会社 会社概要】
会社名: ポイントセック株式会社(英文名 Pointsec K.K.)
所在地: 東京都港区六本木一丁目10-3-901 スウェーデン大使館ビル内
Tel: 03-3560-3177(代表)
設立: 2005年6月
資本金: 1000万円
株主: Pointsec Mobile Technologies AB(スウェーデン・ストックホルム) 100%
代表者: 代表取締役社長 石井 元(Ishii Hajime)
<「Pointsec」製品について>
「Pointsec」のマルチ・プラットフォーム・ソリューションは、今日のモバイル社会において、企業が情報漏えいの脅威にさらされることなくその利点を最大限に活用することができるセキュリティ環境を提供します。オフィス、家庭、屋外で、情報はいつでも「Pointsec」により完全に保護されます。日本ではクライアントPC情報漏えい防止ソフト「Pointsec for PC」、リムーバブルメディア情報漏えい防止ソフト「Pointsec Media Encryption」およびポケットPC用「Pointsec for Pocket PC」を販売しています。海外では、上記製品に加え、「Pointsec for Palm OS」、「Pointsec webRH (web Remote Help)」、「Pointsec for Symbian OS」、「Pointsec for Smartphone」も販売しています。
「医療機関における携帯記憶装置機器の使用状況」に関するこの調査は、スウェーデンのセキュリティソフトウェア大手Pointsec Mobile Technologies(ポイントセック・モバイル・テクノロジー、以下、ポイントセック)社とBritish Journal of Healthcare Computing(ブリティッシュ・ジャーナル・オブ・ヘルスケア・コンピューティング)誌が共同で実施したものです。
この調査結果によると、データ保存に使用されている機器の5分の1には、全くセキュリティ対策が講じられておらず、さらに5分の2はパスワードによるアクセス管理にとどまり、ハッカーに対するセキュリティが不十分であることが判明しました。インターネットからダウンロードした基本的なハッカー・ソフトウェアを使えば、基本的なパスワードは数秒で解除できます。
パスワードに加えて暗号やバイオメトリクス(生体認証)、スマートカード、二要素認証など別のセキュリティ技術を使用していた回答者は、わずか4分の1でした。調査の回答者は情報責任者、IT責任者、医療専門家その他さまざまな職名の方々で、計117人のうち3分の2がNHS職員、4分の1が医療分野と取引のある供給業者でした。
データのダウンロードに使用される携帯機器として医療分野で最も人気が高かったのは、USBメモリスティック/メモリカード(76%)でした。続いてラップトップ/タブレットPC(69%)、PDAなどの携帯端末(51%)、スマートフォン(9%)、携帯電話(2%)の順となっています。最近ではこれらの機器のみならず、技術の進歩によってギガビット単位のデータ保存がMP3プレーヤーやデジタルカメラ、ボイスレコーダーなどでも可能になりました。USBメモリスティックやメモリカードといった小型・大容量ストレージデバイス(記憶装置)が入手しやすくなったことで、患者の個人情報や記録、また医療団体や組織、企業の機密データなどのデータを上司や同僚に気づかれずに大量に持ち運ぶことが極めて容易となっています。
全体では回答者の42%が、使用機器の少なくとも1つは私有機器だと回答しましたが、NHS職員では半数が日常的な業務に私有機器を使用していました。保存データの種類として最も多かったのは個人的な連絡先データ(80%)でしたが、4分の3は仕事関係の連絡先データを保存していました。また、企業データを保存している人は3分の2近くにのぼり、調査対象の医療従事者のうちセキュリティデータ(パスワードやPIN番号、銀行口座データなどが含まれる可能性があります)を保存している人は5分の1もの割合に達しました。
医療専門家の約半数は患者の個人情報や記録を携帯機器に入れて携帯していました。また、医療専門家の過半数はパスワードだけをセキュリティ対策として使用していました。一人の医師は、「パスワードに患者の一人のイニシャルを」使用しているからセキュリティは大丈夫だと述べました。5分の2は、より高度なセキュリティを使用していましたが、全くセキュリティ対策を講じていない人も少数いました。回答者のコメントの中には、紛失や盗難、濫用の可能性はきわめて低いとするものもありました。なかには、「私の患者には脅迫を受けても応じられるだけの経済力がないから、[自身の医療記録について]他人に知られてもおそらく気にしないだろう」とのコメントもありました。また、セキュリティリスクは書類に記録する場合と変わらないと思うというコメントが2件ありました。
患者データが携帯機器に保存されていることに対して懸念を表明した人は半数以上にのぼりました。最大の懸念は、機器の紛失・盗難が起きた場合に、患者との守秘義務に違反すること(57%)と、情報が「悪意のある人の手に渡って濫用される恐れがある」(50%)ことでした。しかしその反面、まだ多くの人が懸念を表明しておらず、セキュリティが十分だと考えていたことにもなります。
機器の紛失は驚くほど多発しています。回答者の4分の1は機器紛失を経験したことがあり、ほぼ同数の人が機器を紛失した同僚を知っていました。しかし約半数は、紛失した機器が見つかっており、紛失によって何らかの影響があったと答えた人は皆無でした。紛失の理由として自動車事故を挙げたケースも1件あり、「おそらく、水で満たされた深い排水溝の底にあるだろう」とのコメントが添えられていました! しかしながら、同僚の中には懲戒措置を受けた人もあり、地方当局の首長所有のPDAを紛失して懲戒解雇となった人も一人いました。
本調査では、多数の人が個人所有の機器に仕事関係の連絡先や企業データ、あるいは医療記録などのデータを保存して携行している実態が明らかになりました。これはセキュリティポリシーの基本的な違反にあたります。3分の2の機器は、全くセキュリティ対策が講じられていないか、または不十分であり、セキュリティリスクに対する認識が多数のユーザーの間で欠如していると指摘できます。組織内にセキュリティポリシーがあると回答した人は約80%でしたが、調査結果を見れば、セキュリティポリシーには携帯機器に関わるリスクへの対応やポリシーの徹底方法に広範かつ深刻な問題があることが明白です。
ポイントセック英国のマネージング・ディレクターであるマーティン・アレン(Martin Allen)は、次のように述べています。「電子医療記録の保管に対して患者が懸念していることを示す資料は数多く存在します。今回の調査では医療セクター自体が、NHSトラストによるセキュリティ対策を受けていない携帯機器への医療データの保存に対して懸念を抱いていることが明らかになりました。現在、携帯機器を盗むなどして悪意ある目的で情報にアクセスすることは非常に簡単ですから、これらの弱点が悪用されるのは時間の問題でしかありません。携帯機器はセキュリティネットをすり抜けてしまっているように思われます。セキュリティを業とする当社の立場としましては、機密情報の記録や患者の個人情報の記録をダウンロードするNHSトラストおよびその関連組織はすべて、データを自動的に暗号化することが焦眉の課題である、と申し上げたいと思います。そのことによってセキュリティは問題ではなくなり、習慣化されて、意識しなくてもごく自然にセキュリティ保護が実現できるようになるでしょう」
以上
<Pointsec Mobile Technologies ABついて>
Pointsec Mobile Technologies ABは、スウェーデンのストックホルム株式市場で上場しているProtect Data(プロテクトデータ)社の100%子会社として1988年に設立されました。世界中の一流企業や政府機関が「Pointsec」の顧客です。2005年6月に日本法人を設立し、現在、米国に2箇所、ヨーロッパに9箇所、アジア・パシフィック地域に2箇所のオフィスを持ち、また、中東のドバイにもオフィスを構えています。URL: (リンク »)
ポイントセックの暗号化ソリューション「Pointsec」は、グローバルマーケットでの顧客数の多さ、業界最高レベルの認証システムで、PCからPDA、携帯電話、リムーバブルメディアなどあらゆる機器をカバーする充実した製品ラインアップなどによりモバイル機器のセキュリティにおけるデ・ファクト・スタンダードとなっています。「Pointsec」は、企業の機密情報を保護する上で最も脆弱な場所であるモバイル機器において確かなセキュリティを保証するために、データの自動暗号化という信頼性の高いソリューションを提供します。ノートPC、PDA、スマートフォンやリムーバブルメディアに記録される機密情報を安全に保管することにより、企業や政府機関は、自らのブランドイメージを保持、向上できるだけではなく、情報漏えいのリスクを最小限に抑え、機密情報や情報資産を保護し、顧客や株主からの信頼を高めることができます。
【日本法人ポイントセック株式会社 会社概要】
会社名: ポイントセック株式会社(英文名 Pointsec K.K.)
所在地: 東京都港区六本木一丁目10-3-901 スウェーデン大使館ビル内
Tel: 03-3560-3177(代表)
設立: 2005年6月
資本金: 1000万円
株主: Pointsec Mobile Technologies AB(スウェーデン・ストックホルム) 100%
代表者: 代表取締役社長 石井 元(Ishii Hajime)
<「Pointsec」製品について>
「Pointsec」のマルチ・プラットフォーム・ソリューションは、今日のモバイル社会において、企業が情報漏えいの脅威にさらされることなくその利点を最大限に活用することができるセキュリティ環境を提供します。オフィス、家庭、屋外で、情報はいつでも「Pointsec」により完全に保護されます。日本ではクライアントPC情報漏えい防止ソフト「Pointsec for PC」、リムーバブルメディア情報漏えい防止ソフト「Pointsec Media Encryption」およびポケットPC用「Pointsec for Pocket PC」を販売しています。海外では、上記製品に加え、「Pointsec for Palm OS」、「Pointsec webRH (web Remote Help)」、「Pointsec for Symbian OS」、「Pointsec for Smartphone」も販売しています。
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
