概要：データ侵害が倍増、脅威の性質が変化

2025年、ヘルスケア分野におけるデータ侵害の件数が、前年（2024年）と比較して2倍に増加したことが、Fortified Health Securityの新たな報告書によって明らかになりました。しかし、流出した患者記録の件数は大幅に減少しています。この侵害増加の主な要因は、ランサムウェア攻撃とサードパーティリスクであり、現在の侵入はデータプライバシーよりも業務の継続性に対する脅威となっています。

同報告書は、「業界は、大規模で報道されるような単一のイベントから、より負担の大きい絶え間ない混乱の状態へと移行した」と述べています。

セキュリティ対策への低い信頼度

Fortifiedの報告書は、ヘルスケア分野が直面するリスクを認識しているにもかかわらず、それらに対処する能力に自信を持っていない現状を浮き彫りにしています。例えば、サードパーティリスク評価の適切性について「高い自信がある」と答えた組織はわずか4%に過ぎず、約30%は「まったく自信がない」と回答しています。

また、インシデント対応についても、「インシデントを迅速に特定、封じ込め、復旧できる」と「非常に自信がある」と答えた組織はわずか6%でした。これは、「プレッシャーの下でのスピードや一貫性に対する完全な信頼はないものの、進歩は見られる」ことを示唆しています。

人材流動性と耐久性のあるプログラムの必要性

報告書は、ヘルスケア組織がサイバーセキュリティプログラムを設計する上で、この分野の絶え間ない人材流動性に耐えうるようにする必要があると強調しています。多くの組織がベテラン職員にサイバーセキュリティの慣行の説明と実装を頼っているため、彼らが退職すると重要な知識も失われてしまいます。

• 「完璧な人員配置条件を前提としたプログラムは、現実との接触に耐えられないことが多い」と報告書は指摘。
• 「強力なプログラムは安定性を前提とせず、変化を前提とし、残留する人員を強化し、組織の知識を保持し、個人が去っても能力が失われないように計画する」ことを推奨しています。

さらに、ヘルスケア組織は「学んだ教訓を運用化」し、「何度も同じ火事を起こす」ことを避け、重複するテクノロジースタックへの可視性を向上させるよう促されています。サイバーセキュリティへの投資が患者ケアから資金を奪うと見なされ、支出が抵抗される傾向も指摘されています。

シャドーAIの脅威と適切なガバナンスの確立

シャドーAIは、他の重要インフラと同様にヘルスケア組織を脅かしています。Fortifiedの報告書によると、「AIツールの導入は、ヘルスケア組織がポリシーを策定するよりも速いペースで進んでいる」とのことです。しかし、この技術を阻止するのではなく、組織は次のような対策を講じるべきだと提言されています。

• 従業員がAIツールをいつどこで使用しているかを特定する可視化フレームワークを確立する。
• 大規模または異常なデータアップロードを検出する。
• 情報漏洩を最小限に抑えるための安全なプロンプト技術について従業員を教育する。

これを達成するためには、経営幹部は「AIガバナンスを中核的なビジネスイニシアチブとして扱う」必要があります。

---

元記事: https://www.cybersecuritydive.com/news/healthcare-cyber-breaches-fortified/809483/