医療業界へのサイバー攻撃
今年5月、アイルランドの医療サービス機関であるHSE(Health Service Executive)が、「壊滅的」なランサムウェア攻撃を受けました。HSEは、一部地域で病院の予約件数が80%減少するという直接的な被害を受けただけでなく、患者の機密医療情報や個人情報、さらには患者とのやり取りの詳細が盗まれ、ネット上に公開されました。HSEサーバーの75%は攻撃後に再稼働できていますが、HSEのCEOは先日、医療サービスが正常化するにはまだ「何週間もかかる」と述べています。
一方、英国のICO(Information Commissioner’s Office:英国個人情報保護監督機関)の統計によると、21年3月末までの2年間、医療部門全体で3,557件の個人情報漏洩が報告されており、その大半はNHS(国民保険サービス)内で起きています。データ漏洩は全件が報告されているとは限らないため、実際はもっと多いと推測されています。
何千件もの個人情報や健康データが漏洩した結果、見知らぬ人物が自宅を訪問してきたという被害者のケースも報告されています。もし悪意のある人物が、社会の公衆衛生の生命線とも言える機密性の高い個人情報にアクセスできれば、脅迫または重大な損失の機会を与えることにつながりかねません。
深刻度を増すデータ漏洩リスク
今回のようなデータ漏洩やその可能性は、機密性の高い個人情報や健康データを、中央集権的なシステムで管理することの危険性を示す好例です。デジタルサービスの継続的な増加により、企業や個人情報を信頼性・安全性の高い、デジタル形式で表した「デジタルID」の推進がますます重要になってきています。
しかし、残念ながら多くの医療施設・システムでは、容易にハッキングできる一極集中型のコンピュータシステム上のエクセルスプレッドシート、またはペンと紙を使って患者データを一元的に管理しています。健康データを安全に管理するためには、ブロックチェーン技術で構築され、暗号化された分散型システムへ移行する必要があります。
パンデミックによる「デジタルトランスフォーメーション」は、クラウドコンピューティング、ビッグデータ、eコマース、そしておそらく最も重要とされる健康に至るまで、その加速の度合いを増しています。医療分野では、デジタルトランスフォーメーションと健康データの利用拡大により、システムの効率化だけでなく、人々の健康向上への寄与が見込めます。
個人情報はデジタルID化へ
米国では、医療におけるイノベーションと健康データへの依存度の高まりは、1990年代後半を発端とするドットコムブームに例えられています。他国でも、データへの依存度は高く、英国保健省は最近「Data Saves Lives」と題した政策文書を発表しました。この論文では、「英国が直面する、今世紀最大の公衆衛生上の緊急事態」において、「コロナウイルスに感染しやすい人」を特定するためのデータが不可欠であり、それが国民を守るシステムとして役立つと主張しています。
新型コロナウイルスとの戦いを進める上で、データ収集は必要不可欠であり、重要な研究と分析を支えるものです。しかしパンデミック期間中、英国その他の各国は、悪意ある行為につながる可能性のあるセンシティブな個人情報や健康データを、侵害されやすく安全性の低い、中央集権型の管理システムで膨大に管理してきました。
残念ながら、英国の統計やHSEへのサイバー攻撃で明らかになったように、医療データを一元的に管理するシステムには、セキュリティ上のリスクがあります。こうしたシステムの基盤にあるインフラは、高度なハッカー攻撃に耐えるには技術的にあまりにも脆弱なのです。
分散型データ管理システムがもたらす真のイノベーション
ブロックチェーン上に構築された分散型データ管理システムは、企業や組織のデータ管理において、暗号化による安全性を提供します。中央集権的なシステムと異なり、その不変的フォーマットは堅牢性が高く侵入が極めて困難です。それらは「トラストレス(信用不要)」であるため、ユーザーは従来の技術やヒューマンエラーを起こしやすいシステムに信頼を置く必要がなくなります。
患者などのユーザー側に関しては、個人情報の管理に役立つ分散型IDソリューションに投資する必要があります。分散型IDのプラットフォームを使用することで、ユーザーは諸機関と共有する情報の管理権を取り戻すことができ、セキュリティと個人データの管理があらゆる取引の最優先事項であることが担保されます。
医療機関のデジタルトランスフォーメーションが進むにつれ、データ漏洩の発生件数は減少するどころか増加することが予測されています。これを見越して、データ管理を中央集権的データベースではなく、患者の手に委ねる分散型ソリューションを採用することで、悪意のある、あるいは意図しない患者データの漏洩リスクを減らし、適切な医療データの活用と真のイノベーションを着実に実現していくことができるのです。
