毎日、患者個人の健康情報を含む何百万もの新しい医療画像がインターネットに流出している。 数百という病院、クリニック、画像センターが、セキュリティ上問題があるストレージシステムを使用しており、インターネット接続環境と無料でダウンロードできるソフトウェアがあれば、誰でも世界中の患者の10億以上の医療画像にアクセスできる。流出したX線、超音波、CTスキャンなどの画像の約半分は、米国の患者のものだ。
セキュリティ研究者が病院やクリニックに対し、数週間にわたり警告しているにもかかわらず、多くは警告を無視し、患者の個人的な健康情報が流出し続けている。「日を追うごとに事態は悪化している」と、ドイツに本拠を置くセキュリティ企業であるGreenbone Networksで調査を率いたDirk Schrader(ダーク・シュレーダー)氏は語った。
問題は十分に文書化されている。Greenboneは、9月に2400万件の患者の検査に関する7億2000万以上の医療画像を発見した。この発見をProPublicaが報告し、問題の規模を初めて明らかにした。2カ月後、情報を流出したサーバーの数は50%以上増加し、3500万件の患者検査に関わる11億9000万の画像が流出した。患者のプライバシー侵害は深刻だ。
問題が改善する兆候はほとんど見られない。「我々の報告を受けて流出が止まったデータがあるにもかかわらず、流出しているデータの量は依然として増加している」とシュレーダー氏は述べた。医師が適切な措置を取らなければ、流出する医療画像は「すぐに」記録的な数に達すると同氏は指摘する。
研究者によると、この問題は、病院、クリニック、放射線センターが患者の医療画像を保存しているサーバーに共通する弱点が原因だという。
DICOMという数十年前のファイル形式と業界基準は、医療従事者が医療画像を単一のファイルに保存し、医療従事者間で共有するために設計されたものだ。DICOM画像は無料のアプリで表示できる。DICOM画像は通常、PACSサーバーと呼ばれる画像アーカイブおよび通信システムに保存され、簡単に保存・共有できる。多くのクリニックはセキュリティのベストプラクティスを無視し、パスワードなしでインターネットからPACSサーバーに直接接続している。
セキュリティのないサーバーから、医療画像だけでなく、患者個人の健康情報も流出している。多くの患者の画像には、DICOMファイルのカバーシートに患者の名前、生年月日、診断に関する機密情報などが含まれている。場合によっては、病院が患者を識別する目的で、患者の社会保障番号も含まれている。
スウェーデンに本拠を置くセキュリティ研究者であるLucas Lundgren(ルーカス・ランドグレン)氏は2019年、医療画像データの流出の程度を調査した。 同氏は2019年11月にTechCrunchに対し、情報が流出したサーバーの医療データは誰でも簡単に閲覧できることを明らかにした。わずか数分で、同氏はロサンゼルスで最大の病院が保管する数年前の日付の何万もの患者の画像を発見した。サーバーは後日セキュリティがかけられた。
米国最大の病院と画像センターのいくつかが、医療データ流出の最大の犯人だ。シュレーダー氏は、流出したデータによって患者は「医療保険詐欺の一方的な被害者」になるリスクにさらされると述べた。だが、患者は自分のデータがインターネット上にさらされて誰でも見つけられることに気づいていない。
患者への影響を調査したThe Mightyによると、流出した医療情報により、患者が保険詐欺や個人情報の盗難にあうリスクが高くなる。また、データの流出によって、患者と医師の信頼関係が崩れ、患者が情報共有をためらう傾向が高まりかねない。
我々は今回の調査で、米国の画像センターが保管している数十年分の患者の画像を発見した。昨年フロリダの救急治療室を訪れた後に情報が流出した患者の1人は、流出した医療データに関して「怖い」「不快」であると語った。慢性疾患を持つ別の患者は、カリフォルニアの病院で30年にわたり定期的に画像を撮った。米国最大の軍の病院では、適切なセキュリティが確保されていないサーバーから、軍人の名前と医療画像が流出した。医療画像がごく少数の患者の場合でも、流出したデータから病気やけがなどの健康状態の全体像を推測できる。
Greenboneは先月、サーバーを保護してもらうため、流出が生じているサーバーを持つ100以上の医療機関に連絡した。その後、小規模な医療機関の多くがシステムを保護し、結果として流出画像の数がわずかに減少した。だが、セキュリティ会社が流出した医療画像の5分の1を占める上位10医療機関に連絡したものの、シュレーダー氏は「まったく反応がなかった」と述べた。
Greenboneは、TechCrunchがフォローできるよう、病院の名前をTechCrunchと共有した。その中には、ニューヨークに3つの病院を持つ企業、12の拠点を持つフロリダの放射線会社、カリフォルニアの大手病院がある。なおTechCrunchは、患者データ流出リスクを最小限に抑えるため、病院や企業の名前を公表しない。
1つの医療機関だけがサーバーを保護した。Alliance RadiologyのパートナーであるNortheast Radiologyは、Greenboneのデータによると、米国で流出した医療データの最大の流出元で、5つの拠点の約120万人の患者に関する6100万枚以上の画像が含まれる。Greenboneが最初に警告を発してから1カ月後にTechCrunchがフォローして初めて、サーバーのセキュリティが確保された。Alliance Radiologyの広報担当者であるTracy Weise(トレーシー・ワイズ)氏はコメントを控えた。
シュレーダー氏は、流出に関与した残りの医療機関がシステムをインターネットから遮断すれば、ほぼ6億枚の画像がインターネットから「消える」と述べた。長年にわたってサーバーからの流出について警告してきた専門家は、医療機関にはほとんど言い訳の余地がないと語る。医療機器のセキュリティ脆弱性を研究したセキュリティ研究者であるYisroel Mirsky(イスロエル・ミルスキー)氏は2019年、DICOM標準を作成および維持する標準化団体が設定したセキュリティ機能が、デバイスメーカーによって「ほとんど無視されている」と述べた。
シュレーダー氏はデバイスメーカーを非難していないが、医療機関がサーバーに適切なセキュリティを施さなかったのは「純粋な過失」だと言う。米保健福祉省のプライバシー上級職員だったLucia Savage(ルシア・サベージ)氏 は、ヘルスケア業界全体のセキュリティを改善するために、特にリソースが不足している小規模医療機関のレベルでやるべきことが多くあると述べた。
「データが個人の健康情報である場合、インターネット上でそれを見つけることを含めた不正アクセスから保護する必要がある」とサベージ氏は言う。「デジタル医療情報を保護するのと同じように、紙の医療記録を含むファイルルームを施錠する義務もある」と同氏は説明した。
医療記録と個人の健康データは、米国の法律上高度に保護されている。健康保険の携行性と責任に関する法律(HIPAA)は、データを非公開かつ安全に保って個人の電子健康情報を守る技術的および物理的保護手段を含む「セキュリティルール」を策定した。法律はまた、セキュリティ上の瑕疵があれば医療提供者に責任を負わせる。法律違反には厳しい罰則が科せられる。
政府は昨年、テネシー州に本拠を置く医療画像処理会社が、30万を超える患者データを保管したサーバーを誤って開放したため、300万ドル(約3億3000万円)の罰金を科した。
米保健福祉省の執行部門である公民権局のプライバシー責任者だったDeven McGraw(デビン・マグロー)氏は、「セキュリティに関して小規模な医療提供機関をもっと支援すれば、政府はセキュリティを維持する義務を故意に無視している医療機関に集中できる」と語る。
「政府の関与は重要であり、リソースが限られている医療機関に対するガイダンスとサポート、またテクノロジーに組み込んだ実行しやすいソリューションも重要だ」とマグロー氏は述べる。「ひとつの法執行機関だけで状況を改善するには問題が大きすぎる」と続ける。
情報を流出した医療サーバーの規模が9月に初めて明らかにされて以来、民主党バージニア州選出のMark Warner(マーク・ワーナー)上院議員は、保健福祉省に回答を求めた。ワーナー氏は、米国を拠点とする情報流出サーバーの数が、3100万枚の画像を保管する16のサーバーにまで減少したことを確認したが、TechCrunchに「もっとやる必要がある」と語った。
同氏は「保健福祉省は、機密性の高い患者の健康情報にプライバシー保護対策を施さないまま、より広範囲の関係者へのアクセスを積極的に推進しているため、同省の怠慢によって事態はさらに厄介なことになっている」と語る。
「私の知る限り、保健福祉省はこの問題に関して何もしていない」とワーナー氏はTechCrunchに語った。「保健福祉省は、機密性の高い患者の健康情報にプライバシー保護対策を施さないまま、より広範囲の関係者へのアクセスを積極的に推進しているため、同省の怠慢によって事態はさらに厄介なことになっている」と同氏は付け加えた。
保健福祉省の公民権局は、個別の案件についてはコメントしなかったが、これまで実行した措置について釈明した。「公民権局は過去に、保護されていないストレージサーバーに関する違反に対処するための措置を講じており、HIPAAルールの包括的な執行を継続している」とスポークスマンは述べた。
「我々は、保護されていないシステムの世界的な状況を改善するために最善を尽くし続ける」とシュレーダー氏は語った。「だが、情報を流出しているサーバーに関しては、医療機関に警告する以外にできることはあまりない。規制当局の対策が問われている」と同氏は続けた。
画像クレジット:TechCrunch
この投稿は、健康ニュースサイトThe Mightyとの提携によるものだ
[原文へ]
(翻訳:Mizoguchi)