ヘルスケア領域におけるBYOD：個人端末の使用を安全に行うために

スマートフォンやタブレットといったモバイル端末はヘルスケア産業においてもよりいっそう普及し始めています。医師や看護師は私的端末の持ち込み(BYOD)を活用してEメールの利用や分析結果へのアクセスといったタスクを行うことで、よりよいコミュニケーションと作業効率、そしてコスト削減といった利点を享受しています。

こうした利点はあるものの、BYODは困難や潜在的なリスクも抱えています。この記事では、BYODとはなにか、その利点とリスク、そしてBYODポリシーとヘルスケア向けMDMを通じてモバイル端末のセキュリティを確保する方法について紹介します。

Part 1. BYODとはなにか？

BYOD（Bring Your Own Device）は、従業員が自身で所有するスマートフォンやタブレット、ラップトップ、USBドライブといった端末を使って、企業のシステムやデータにアクセスできるようにすることを指します。

BYODの概念は2010年代の前半に普及し始めました。2007年にiPhoneがローンチされて以来、スマートフォンを持つ人が増えてきたためです。より多くの人びとが自分の個人端末を業務目的に使用するようになったので、IT部門はあまりしっかりとした補助なしに個人端末の持ち込みを許可しはじめてしまいました。

こうしたトレンドに応じて、最初の公式なBYODプログラムが登場したのが2011年です。従業員が自分の端末を職場で使うにあたって、明確なガイドラインとサポートを行うようにするものです。

BYODは、企業がコンピューター・ネットワークにアクセスする方法を変化させました。今日では、80%ちかい組織がBYODに対応しており、最近の研究では、95%の従業員が少なくともひとつの個人端末を業務に使用しているといいます。

Part 2. ヘルスケア領域におけるBYOD：応用と利点

Conduct Scienceによる2020年の研究では、ヘルスケア産業の従事者のうち80%が現場でタブレットを使用しており、続いて42%がスマートフォンを使用していました。

モバイルヘルステクノロジーが発展し、リモートで患者を診療する需要が高まったおかげで、BYODは以前よりましてヘルスケア領域で普及しはじめました。ヘルスケア領域におけるBYODの一般的な利点として、次のような点が挙げられます。

1生産性

BYODを使うと、医療スタッフが患者情報に電子健康記録(EHRs)を通じてアクセスすることができ、他のヘルスケア事業者といつでもどこでも連絡をとることができます。

それによって、医療スタッフは患者のニーズに迅速にこたえることができ、同僚ともより効率的に協働できるようになります。結果として、よりよい患者へのケアを行うことができるのです。

2コミュニケーションの改善

看護師が患者のケアプランを作成中で、医師と相談する必要がでてきたとしましょう。

BYODがあれば、看護師は迅速に、かつ安全に、自分の個人端末を使って医師とリアルタイムでコミュニケーションをとることができます。メッセージアプリやビデオ会議を使って患者の状況について話し合い、検査結果を検討し、治療の最善の方法に向けて協働することができます。

このように、BYODはコミュニケーションを合理化し、複数の提供者のあいだでケアをコーディネートするために必要な時間やリソースを縮減することができます。

3運用コストの削減

ヘルスケア組織はしばしばスタッフに対して高価な業務用端末を購入する必要があります。

BYODプログラムを採用することによって、ヘルスケア組織はこうしたコストを削減し、端末を購入して従業員に使用方法の研修を行う費用を避けることができます。

小規模な組織にとってこれは大きな利点です。リソースが限られているため、すべての従業員に業務用端末を提供する予算がない場合があるからです。

Part 3. BYODをヘルスケアに活用するにあたってのリスクと困難

ヘルスケア領域におけるBYODにはいくつかの利点がありますが、同じくらいある種のリスクや困難も存在します。たとえば、

1データ漏えい

🔹マルウェア

ヘルスケア組織はランサムウェア攻撃の主要な標的であることに注意しましょう。FBIのデータによれば、2022年、すべてのランサムウェア攻撃のうち25%がヘルスケア組織に絞られていたそうです。

2021年には、私的・公的な公共福祉セクターにおけるランサムウェアの報告はその他14の重要なインフラ産業のなかでも最も多く、649例のうち148例にのぼりました。

🔹データ窃盗

ハッカーはしばしば企業データを標的とし、従業員が所有する端末をセキュリティの抜け穴を探す簡単な出発点とみなしています。

不幸なことに、2021年、ほぼ4500万ものヘルスケアの記録が盗まれ、もしくは漏洩しており、ヘルスケア情報の漏洩において2番目に悪い年となってしまいました。

2HIPAA規準からの逸脱

BYOD端末はハッキングやサイバー攻撃に弱く、患者データに対する認可されていないアクセスにつながってしまいます。従業員が自分の端末を使っている場合、センシティヴな情報の流れを監視することはこんなんです。

そのため、患者の機密情報の偶発的もしくは意図的な漏洩が起こることがあり、ヘルスケア組織に対する重大な罰則が科されることになります。

3端末管理の難しさ

BYODをヘルスケア領域で応用することは、IT部門にとって困難をなげかけることになりえます。直接のコントロールが及ばない個人端末を管理し、保護する必要があるためです。主要な懸念のひとつが、すべての端末が最新のセキュリティパッチ、アンチウィルスソフトをインストールしているか、また安全でないネットワークや認可されていない場所からセンシティヴなデータにアクセスされていないかを確認しなくてはいけないということです。

HPIAAのコンプライアンス規準に即するためには、これらの端末からアクセスされる、また送信されるすべてのデータを監視し追跡する必要がありますが、時間もかかれば複雑な作業になります。さらに、さまざまな端末が使用されることで、混乱や誤作動に繋がり、セキュリティを危険にさらし、データ漏えいのリスクが上がってしまいます。

AirDroid Business MDMをヘルスケアに活用する

無料の白書をダウンロード

こうしたセキュリティ上の困難に対処するため、IT管理者はモバイル端末管理（MDM）アプリケーションを使い、ヘルスケア組織内部のモバイル端末の安全を確保することができます。MDMはITチームが遠隔でさまざまなBYODエンドポイントに対する管理、保護、ポリシーの施行を行うことができ、一貫性を保つとともに、セキュリティの抜け穴を防ぐことができます。

Part 4. BYODポリシー：ヘルスケアにおける安全な端末利用

以上に述べたリスクや困難に対処するために、ヘルスケア組織はBYODポリシーをMDMソフトウェアと組み合わせて施行することができます。

🔺 BYODポリシー: テクノロジーの許容可能な使用方法を定め、サイバー攻撃から保護し、患者情報が個人端末上で安全に保護されるようにします。

🔺 MDMソフトウェア: IT管理者向けの便利なツールを提供します。たとえば、セキュリティポリシーの適用、端末使用状況の記録、必要にい応じた遠隔データ削除などです。

さらに、ヘルスケア組織はすべての端末に特定のアプリを配備するべきです。また、端末を管理して法律上のポリシーに適応するよう務めるべきですし、施設やネットワーク内でのサードパーティアプリの使用を制御し、スタッフたちとの開かれたコミュニケーションを維持する必要があります。

これらのアプリには、安全なメッセージアプリ、電子健康記録、遠隔診療アプリ、処方管理アプリなどが含まれます。

最後に、明確で包括的なBYOdポリシーとMDMアプリケーションを用意することは、繊細な患者データを保護し、ヘルスケア産業の規則に適合するためには不可欠です。モバイル端末はヘルスケア領域でより広く使用されるようになっていますが、組織は事前にこうした端末を管理・保護して、サイバー攻撃を防ぎ、患者データを守るべきです。

ヘルスケア領域でBYODポリシーを施行するには？

ヘルスケア領域でBYODポリシーを施行するためには、患者データの安全が保たれるよう注意深い計画と準備が必要です。以下に、BYODポリシーをヘルスケア領域で施行する際に行うべき重要なステップをご紹介します。

明晰なBYODポリシーをつくる

明確で完結なBYODポリシーは、すべてのチームメンバーにその内容を理解してもらうためには必要不可欠です。ポリシーでは、自分の端末を使用なのは誰か、どんな目的なら使用が許可されるか、そんな種類のデータが個人端末からアクセス可能であるか、立ち入り禁止領域はどこかの骨子が定められている必要があります。

潜在的なセキュリティリスクを想定する

ヘルスケア組織はBYODに関連する潜在的なセキュリティリスクを感知し削減することに注意を払わなければなりません。そのなかには、不審なモバイル端末を感知し、無線ネットワークやデータ、そして内部ネットワークを外部からの攻撃から保護することが含まれます。管理システムもまた保護される必要があり、データへのアクセスを必要としないエンドユーザーから切り離されて運用されなくてはいけません。

MDMシステムの施行

MDMシステムの施行を活用することで、ヘルスケア組織がネットワークに接続された端末のデータやアプリケーションを管理し保全しやすくなります。ITチームがネットワークに接続されたすべての端末に安全基準とソフトウェア設定を適用し、企業ネットワークからブラックリスト化されたサイトやアプリを使用できなくすることができます。

従業員の研修

2021年のヴェライゾンのデータ漏えい調査報告(DBIR)によれば、従業員の不注意が原因となったヘルスケア領域のデータ漏洩がもっとも多く、50%以上のデータ漏えいが従業員の行為を発端としているといいます。

したがって、ヘルスケア組織は最新のセキュリティ研修に投資し、こうしたリスクを最小化し繊細な患者情報を守る必要があります。

パスワード保護

すべての従業員はすべての電子端末で安全なパスワードを使うようにするべきです。個人使用、ないし仕事に関連しないウェブサイトやアプリに使われるものについても同様です。また、安全性を満たす要件にそぐわないパスワードを作成してしまわないようにする機能を備えたシステムを用意しましょう。

AirDroid Business MDMをヘルスケアに活用する

ヘルスケア組織がBYODを採用する流れが続くにつれ、モバイル端末管理（MDM）ソリューションはこうした端末を管理して安全を保つために一層重要性を増しています。データ漏えい、マルウェアへの感染、データの盗難、HIPAA規準からの逸脱は、こうした組織にとって重要な懸念事項です。

したがって、効果的なMDMソリューションはこうしたリスクや困難を低減するために不可欠なのです。

まとめ

結論として、ヘルスケア産業に従事する人びとへのモバイル端末の普及や、ヘルスケアリョいう息におけるBYODの活用は産業全体にポジティヴな変化を促します。たとえば生産性の向上やワークフローの効率化などです。しかし、こうした利点はセキュリティリスクや管理上の困難を伴います。

繊細なヘルスケアデータをまもるためには、モバイル端末管理システムを施行することが重要です。そうすれば、セキュリティポリシーを適用し、遠隔消去を提供し、アプリケーションを管理し、端末の使用状況を監視することができます。ヘルスケア組織は明確なポリシーを設け、従業員を研修し、BYODヘルスケアプログラムの安全と効率をたしかにするために必須の予防措置を行う必要があります。

こうした規準を施行することによって、ヘルスケアに携わる人びとはよりよいヘルスケアサービスを提供するためにモバイル端末を引き続き活用することができます。もちろん、患者情報のプライバシーとセキュリティを保ちながらです。

よくあるご質問

BYODポリシーが患者情報のセキュリティを守るとは？

安田有希

BYODポリシーは、テクノロジーがどのように用いられるべきかの概略を示し、また企業をランサムウェアやハッキング、データの抜け穴といたサイバー攻撃から守ることにｙほって、患者情報のセキュリティを確保します。

個人端末を使って患者さんとコミュニケーションをとることはできる？

安田有希

はい。BYODポリシーはヘルスケアの従事者が個人端末を患者様とのコミュニケーションに用いることを許可しています。それによって、セキュリティ規準を維持しながら、コスト効率がよく便利な方法でコミュニケーションがとれるようになるのです。

BYODはHIPAAに適合しますか？

安田有希

はい。個人端末は患者様とのコミュニケーションに用いることができます。BYODポリシーの施行によって、ヘルスケア従事者は、自分の端末から病院の施設と患者様の双方とコミュニケーションをとることができます。コストの削減に繋がり、またアクセスも容易になります。

ヘルスケア組織におけるBYODポリシーの参考資料はありますか？

安田有希

ヘルスケア組織向けのBYODポリシーのサンプルには、端末使用の許容範囲、パスワード保護、データ暗号化、紛失ないし盗難端末の遠隔データ消去といった事項にガイドラインが定められます。ポリシーはまた、コミュニケーションやデータへのアクセスに用いられる個人端末の使用に関するデータと共に、コンプライアンスに違反した場合の生じうる結果に関しても記す必要があります。