遠隔医療のセキュリティリスクと、安全に利用するためのポイント

この記事をシェア

オンライン診療はプライバシーを保護しながら安全に受けられるのだろうか。自宅に居ながら医師とつながる際に、知っておくべきことや準備すべきことを解説する。

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

遠隔医療のセキュリティリスクと、安全に利用するためのポイント

遠隔医療は、コロナ禍を経て普及が進んだテクノロジーの1つだ。在宅勤務となった従業員の生産性を維持するためにクラウドサービスが役立ったのと同様に、患者や医療スタッフを感染の危険に晒すことなく、医師が患者に重要な治療やアドバイスを提供するのに遠隔医療サービスが用いられた。米国では、コロナ禍の最初の4ヶ月において、遠隔治療はすべての医療行為の4分の1にも達した。前年のわずか1%から大幅に増加したのだ。

しかし、ハイブリッドな生活が定着しつつある今、セキュリティやプライバシーについて、よりシビアな感覚が求められるようになっている。遠隔医療は安全に利用できるのだろうか? 患者のデータは適切に保護されているのだろうか? こうしたデータが第三者に売られたり、ハッカーに盗まれたり、あるいはダークウェブでオークションにかけられたりする可能性もある。遠隔医療が普及するにつれて、これらの潜在的なリスクにもっと関心を持つようになるかもしれない。

遠隔医療とは

「遠隔医療」とは、医療従事者がオンラインで患者に医療行為を行うサービスを指す。多くの場合、ビデオ通話や音声通話を通して行われる。遠隔医療を患者に提供するために、Doctor Care Anywhere、Babylon Health、MDBoxなど専用アプリが数多く現れ、市場は急速に成長している。

アプリだけでなく、インスタントメッセージやメール、ファイル転送サービスが用いられる場合もある。さらに、血糖値測定器、血圧バンド、活動量計などの通信技術を備えたデバイスを介して、患者を遠隔からモニタリングする機能も存在する。

米国保健福祉省によると、遠隔医療ベンダーは対面での診察や検査を伴わない以下のようなサービスを提供している。

  • 検査やレントゲンの結果共有
  • オンライン療法を含めた、メンタルヘルスの治療
  • 片頭痛や尿路感染症のような再発性のある疾患の診療
  • 皮膚疾患の診療
  • 処方箋の管理
  • 風邪や咳を含めた、緊急の治療
  • 手術後の経過観察
  • ADD(注意欠陥障害)のような神経学的疾患の治療
  • 理学療法と作業療法
  • 健康上の目標達成に向けた遠隔モニタリング

遠隔医療でのセキュリティとプライバシーに関するリスク

患者データには個人情報や決済情報が含まれているため、サイバー犯罪者や悪意のあるサードパーティはそれらを盗んだり、購入しようと常に狙っている。なりすましや保険金詐欺、あるいは不正な処方箋の発行を通して現金化できるため、患者データは闇市場での価値が高いのだ。また、知られたくないような健康上の記録は恐喝に悪用される恐れもある。

アプリ単体に限らず、その開発者、患者や医師が使用するデバイスに至るまで、いくつものリスクが存在する。以下に考慮すべき点をいくつか挙げる。

  • データ収集
    英国の非営利団体Privacy Internationalは、「遠隔医療アプリの課題は、個人から健康に関するデータを収集するという目的そのものに由来する」と言及している。また、遠隔医療アプリの中には、旧来の医療機関よりも「はるかに多くの情報を収集し、保管している」ものもあると指摘した。
    欧州ではGDPRによって厳しく規制されているが、アプリ提供者がセキュリティインシデントに巻き込まれた場合、サードパーティへの売却や詐取、漏えいのリスクがある。2020年には、Babylon Healthの情報漏えいにより、個人情報を含む診療映像が他者へ転送される事件が発生している。

▼情報漏えいを訴えるツイートとスクリーンショット

=======================

Rory G
@Babylonhealth
ほかの患者の診察映像へアプリからアクセスできるのはなぜだろうか? これは重大な情報漏えいだ。このリストには50以上の動画が掲載されている!

=======================

  • ソフトウェアの脆弱性
    遠隔医療アプリが抱えるセキュリティ上の欠陥に目をつけた攻撃者が、患者情報を盗み出し、詐欺に悪用する恐れがある。
  • Webアプリケーションへの不正侵入
    推測しやすい単純なパスワードを設定していたことで、ハッカーによるアカウントの乗っ取りが発生した場合、医療、金銭、処方箋に関する機密情報が詐取される危険性がある。パスワードの使い回しも重大な脅威を招く恐れがあり、ほかのWebサイトやアプリと同じパスワードを遠隔医療アプリで用いている場合、それらが漏えいしてしまうと、ハッカーによってアプリへの認証に悪用される恐れがある。
  • 悪意のある偽の遠隔医療アプリ
    ユーザーデータを詐取するために用いられるハッカーの典型的な手口として、本物のアプリに見えるマルウェアをアプリストアへ掲載する方法がある。偽のアプリと気づかずダウンロードするユーザーを待ち伏せし、ダウンロードさせたらマルウェアを介して携帯電話から個人情報や金銭情報を詐取する。
  • ネット接続できるデバイスのリスク
    遠隔医療アプリが大量のデータを収集しているのと同様、健康モニタリング機器などインターネット接続されたデバイスもデータを収集している。例えば、ユーザーの位置や行動を収集しているアプリでは、医療機関とデバイス、アプリ開発者がデータを保管しているため、情報漏えいや悪意のある第三者への転売リスクが高まる。
    GDPRはEUや英国の消費者を過度なデータ共有から保護しようとしているが、小さな文字で書かれた第三者への転売を許可するプライバシーポリシーを見逃してしまう人も少なくないだろう。また、電子化した医療情報のプライバシー保護やセキュリティに関する米国のHIPAA(医療保険の相互運用性と説明責任に関する法律:以下、HIPAA)は、医療行為に必要なデータのみを収集し、アクセスする人物を規制するよう定めている。しかし、残念ながらすべての企業がルールに従っているわけではない。
  • 患者のパソコンとスマートフォン
    傍受や盗聴リスクがあるため、遠隔医療サービスへアクセスするパソコンやデバイスにも配慮すべきだ。攻撃者によって遠隔地からコンピューターやデバイスへアクセスされた場合、遠隔医療アプリのアカウントや保存された記録も閲覧されてしまう。もちろん、医療従事者の端末についても同様だ。
  • チャットプラットフォームのプライバシーリスク
    専用アプリに加えて、SkypeやZoomなどのビジネス向けビデオ会議プラットフォームが遠隔医療に用いられるケースがある。実際、コロナ禍ではHIPAAの規制は緩和され、ビデオ会議ツールが使用できるようになった。しかし、患者データが第三者に転売されるリスクを高めてしまう懸念が残る。

遠隔医療を安全に利用するための対策

遠隔医療を利用するにあたり、先述したさまざまなリスクを軽減するためのベストプラクティスが知られている。以下の点を考慮して、対策を講じてほしい。

  • 信頼できるベンダーから提供されているセキュリティソフトをパソコンやデバイスに導入する
  • 複雑で推測されにくいパスワードを常に使用する
  • 可能であれば、多要素認証を有効化し、パスワードを追加で保護する手段を講じる
  • 遠隔医療アプリ、チャットアプリを常に最新のバージョンに保つ
  • 個人情報や健康に関するデータがどのように処理され、保管されているかベンダーに確認する
  • 遠隔医療に用いられるビジネス用のチャットアプリがエンドツーエンドで暗号化されていることを確認する
  • 公共のWi-Fiスポットは使わず、共用しているパソコンやデバイスから遠隔医療アプリにログインしない
  • 見知らぬベンダーや連絡先に個人情報を開示したり、遠隔医療の予約をしたりするのを避ける

コロナ禍の影響や高齢化社会に対応するため、遠隔医療の普及はさらに進むだろう。私たちの健康や幸福にとってますます重要になる技術を最大限活用するためには、データの安全性とプライバシーの保護を確保することが重要な第一歩となるだろう。

この記事をシェア

デバイスのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!