HIPAA 対応 Wi-Fi に関して知っておくべきこと
2015 年 8 月 31 日 RYAN ORSI 著
医療関連の個人識別情報(PII)はクレジットカードの 50 倍以上の値段で闇市場において取引されていることをご存知でしたか。したがって、これらの情報は狙われる可能性もそれだけ高いことになります。
Keeper Security が先日発表した報告書によると、驚くべきことに、医療関連機関の 90% が過去に何らかのデータ漏洩を経験したことがあり、アメリカ国民のほぼ 3 人に 1 人が影響を受けたことになります。
医療関連機関に対するサイバー攻撃の急増によって、IT 管理者には、サイバーセキュリティ対策の根本的な見直しが求められています。BYOD(私用デバイスの業務使用)が浸透し、職員がタブレットを使って EHR(電子医療レコード)にアクセスするようになり、ワイヤレス接続される医療機器が増加したことで、ワイヤレス アクセスは、特に大きな注目を集める分野になりました。
HIPAA はこれまでに、患者情報へのアクセスを保護するためのガイドラインとなる指針を発表してきましたが、ワイヤレス LAN(WLAN)に関する具体的な実装の要件が HIPAA には示されておらず、CFR(Code of Federal Regulations)Title 45, Part 164, Subpart C に、関連性が認められる要件の言及があるだけです。この CFR は、WLAN の要件を 3 つのカテゴリ、すなわち、管理に関する要件(職場での手順および規定)、物理的な要件(ハードウェア)、技術的な要件(WLAN トラフィックの保護)に分類しています。
HIPAA に対応するためには、Wi-Fi ネットワークが以下の要件を満足していることを確認する必要があります。
管理に関する要件
- WLAN 管理者のログインおよびログオフのログを記録すること
- 集中管理が可能な WLAN ソリューション(コントローラ/クラウド)を使用して、管理者アカウントのパスワードが 1 つのシステムでメンテナンスされるようにすること
- 不正アクセスポイントなどのワイヤレスセキュリティの脅威を検出できる WLAN ソリューションを使用すること
- WLAN の構成のバックアップをコントローラ/クラウド管理システムから作成し、緊急時に備えて安全にオフサイトに保管しておくこと
- アクセスポイントがインターネットや中央コントローラにアクセスできなくなった場合であっても医療担当者が患者情報にアクセスできる WLAN ソリューションを使用すること
物理的な要件
- ケンジントンロックなどの物理的な手段で保護できるアクセスポイントを使用すること
- オンサイトの WLAN コントローラ機器をアクセス制限エリアの背後に置くこと
技術的な要件
- 公共の Wi-Fi アクセスを提供する場合は、異なる SSID や VLAN ID を使用して、このトラフィックを EHR が使用するネットワークと分離すること
- 最低でも WPA2 を使用して PSK を暗号化し、可能であれば、WPA2 エンタープライズ 802.1x を使用してクライアント側の証明書保護を有効にすること
- 使用帯域幅や送信元/送信先の情報などのワイヤレスクライアントのアクティビティを可視化でき、ブロックするトラフィックを指定できる WLAN ソリューションを使用すること
— プロダクトマネージャー、Ryan Orsi ((@RyanOrsi))