概況

  • 2019年に Quest Diagnostics が米国医療回収機構(AMCA)を介して被った情報漏洩は、医療データの説明責任を問う試練となった。漏洩が請求・回収業務を担うベンダーに公に関連づけられた一方、影響を受けた人々はデータが医療検査に関連するものと理解したからである。
  • 確認されている公開記録には、Quest が AMCA を通じて約1190万人の患者が影響を受けた可能性があると開示したこと、SEC 提出書類、関連通知、AMCA の破産手続き、複数州にわたる執行和解が含まれる。証拠に基づく推論として、医療検査会社はベンダーのセキュリティ、支払いページ、データ最小化、通知の指示、契約上の救済についてより強力な証明を必要としている。
  • 公開記録には依然として不明点が残る。ベンダー監視の全履歴、正確なデータ転送最小化の決定、個々の患者への漏洩状況、完全な契約救済、選定や更新に関する内部での検討などである。

なぜこのケースがリスクと説明責任ファイルに属するのか

Quest Diagnostics が AMCA ベンダー漏洩を医療データ説明責任の試練としたのは、この件が規制の境界の背後に隠れやすい監視の隙間を露呈したからである。検査室は回収ベンダーが関与していたと言える。ベンダーは攻撃者が自社環境に侵入したと言える。しかし患者は、医療検査、請求書、保険ワークフローの結果として漏洩に苦しむ。したがって、説明責任の問題は脆弱なシステムをホストしていた事業体で止まってはならない。むしろ、誰が機密データをこのベンダーエコシステムに転送する実質的な支配権を持ち、ベンダーを監視し、データを特定し、患者が外部委託後も保護されていることを証明するのかを問わなければならない。 公開記録は、Quest 自身の声明から始まる。https://ir.questdiagnostics.com/news-releases/news-release-details/quest-diagnostics-statement-regarding-american-medical-collectionで入手可能であり、AMCA が Optum360 と Quest に対し、AMCA の電子支払いページに影響を与える不正行為を通知し、約1190万人の Quest 患者が影響を受けた可能性があると述べている。Quest の2019年6月3日付 Form 8-K 提出書類は、https://www.sec.gov/Archives/edgar/data/1022079/000094787119000415/ss138857_8k.htmでイベントを証券記録に移した。Quest の SEC ページはhttps://www.sec.gov/edgar/browse/?CIK=1022079でより広い提出書類の文脈を提供している。これらは Quest が公開した主要ソースであり、完全な刑事ファイルではない。 AMCA の役割は、このケースを単なる検査室の侵害よりも大きくしている。KrebsOnSecurity の公開レポートはhttps://krebsonsecurity.com/2019/06/breach-at-medical-collections-firm-amca-impacts-millions/で、多くの医療機関に影響を与えた回収ベンダーのより広範なインシデントを説明するのに役立った。Labcorp の関連通知はhttps://www.labcorp.com/information-security-incidentで、Quest だけが AMCA に接続されたブランドではないことを示した。ニュージャージー州司法長官が発表した複数州和解はhttps://www.njoag.gov/ag-grewal-announces-multistate-settlement-with-american-medical-collection-agency-over-data-breach-that-exposed-personal-information-of-21-million-consumers/で、規制当局が AMCA インシデントを消費者保護と複数事業体のデータセキュリティ問題として扱ったことを示した。 説明責任の質問は実践的である。誰が請求ベンダーの選定、患者データの転送、ベンダーセキュリティの監視、支払いページの露出、通知のタイミング、契約上の救済、および医療検査会社が下流のデータ保護を検証できることの証明に対する実質的な支配権を持っていたのか。この質問は、Quest が AMCA の支払いページを運営していたとか、Quest の検査室システム自体が侵害されたと主張するものではない。患者情報が外部の請求・回収ワークフローに置かれたときに、医療データ管理者の説明責任がどこまで及ぶのかを問うている。 この違いは重要である。なぜなら、医療データは患者に伴って拡張されたサービスチェーンをたどるからである。検査室テストは臨床記録と請求記録を生成する。保険と支払いのプロセスは人口統計および財務記録を生成する。回収活動には追加のベンダーが関与する可能性がある。各転送はビジネス上の必要性によって正当化されるが、各転送は新たなセキュリティ境界も生み出す。患者がすべてのベンダーを選ぶことはめったになく、通知が届くまでベンダーの存在すら知らないかもしれない。この非対称性が、ベンダーの説明責任が医療データの主要リスクファイルに属し、脚注ではない理由である。

公開イベントはベンダー侵害だったが、患者の関係は別の場所から始まった

AMCA は多くの患者にとって馴染みのある名前ではなかった。Quest はそうだった。この違いは説明責任記録にとって極めて重要である。患者は、医療を受ける一環として、検査室、プロバイダー、保険会社、支払いシステム、回収プロセスとやり取りした。回収ベンダーが後に公開侵害の場となったとき、実質的な信頼連鎖は依然としてデータを生み出した医療サービスを指していた。外部委託は業務を移すことができるが、患者の期待を消し去ることはできない。 Quest の声明は AMCA を請求・回収サービスプロバイダーと説明し、Optum360 を Quest の収益サイクル管理ベンダーとして言及した。この多層的な関係は重要である。患者データの経路が単純な二者間の引き渡しではなかったことを示している。医療事業体、収益サイクル管理ベンダー、回収ベンダーがワークフローに存在した。説明責任はその連鎖を特定しなければならない。なぜなら、支配権が分散している可能性があるからである。ある当事者がベンダーを選択し、別の当事者が契約を管理し、さらに別の当事者が支払いページをホストし、別の当事者が通知を送るかもしれない。患者は連鎖が単一の保護システムとして機能することを必要としている。 HHS 侵害ポータルはhttps://ocrportal.hhs.gov/ocr/breach/breach_report.jsfで大規模な医療データインシデントの公開文脈を提供している。HHS の HIPAA 侵害通知資料はhttps://www.hhs.gov/hipaa/for-professionals/breach-notification/index.htmlで、通知が単なるカジュアルなコミュニケーション行為ではない理由を説明している。HHS のプライバシーとセキュリティルール資料はhttps://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.htmlおよびhttps://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.htmlで規制された医療のより広い枠組みを提供している。これらのソースは Quest-AMCA の責任配分のすべてを解決するわけではないが、請求ワークフローにおける患者データが規制された信頼の問題であり続ける理由を示している。 確認された記録は正確な結論を支持している。AMCA は公開開示で言及された侵害ベンダーであった。Quest は約1190万人の患者への潜在的な影響を開示した。後に、規制当局は AMCA を追及し、複数州の和解を解決した。AMCA は侵害の余波を受けて破産保護を申請し、その事実は公開レポートと法的報道で議論された。証拠に基づく推論は、医療機関が患者データを最終的に預ける際には、契約上の文言以上のものを必要とするということである。ベンダーの電子支払いページ、アクセス制御、監視、脆弱性管理、インシデントエスカレーションが機能しているという継続的な証明が必要である。 不明点も可視化されたままにすべきである。公開記録は、ベンダーに対するデューデリジェンスレポート、セキュリティアンケート、監査権、侵入テスト、例外メモ、支払いページログ、エグゼクティブリスク決定のすべてを提供しているわけではない。影響を受ける患者記録のすべての要素がすべてのケースで現れるわけではない。したがって、この記事は非公開の事実を確認するものではない。公開記録を使用して、患者と規制当局が要求する理由のある説明責任構造を特定している。

請求・回収データは低感度データではない

医療請求データは運用的には売掛金として扱われるかもしれないが、患者はそれを通常の売掛金データとして経験しない。回収記録には、名前、住所、生年月日、電話番号、口座残高、一部の人の支払いカードまたは銀行情報、医療提供者または検査室のコンテキスト、および人を医療検査に結び付けるのに十分な詳細が含まれる可能性がある。検査結果が開示されなくても、医療請求関係の存在自体が機密となり得る。 Quest の公開声明は、AMCA が影響を受けた AMCA システム上の情報には、財務情報、社会保障番号、医療情報が含まれる可能性があるが、検査室テスト結果は含まれないと通知したと述べた。この区別は重要である。確認された漏洩の範囲を狭めており、記事はこれを維持すべきである。同時に、検査結果の欠如はイベントを無害にはしない。身元、支払い、および医療サービスのコンテキストは、依然として詐欺、プライバシー、尊厳において害を生み出す可能性がある。 連邦取引委員会(FTC)のビジネスセキュリティガイダンスはhttps://www.ftc.gov/business-guidance/resources/start-security-guide-businessで、収集の制限、データの保護、アクセス制御、サービスプロバイダー管理などの実践的なデータセキュリティ手順を強調しているため、関連性がある。国立標準技術研究所(NIST)のサイバーセキュリティフレームワークはhttps://www.nist.gov/cyberframeworkで、またインターネットセキュリティセンター(CIS)の重要なセキュリティ管理策はhttps://www.cisecurity.org/controlsで、在庫、アクセス管理、監視、インシデント対応、サービスプロバイダー監督のための運用語彙を提供している。これらは Quest が特定の措置に失敗したという判定ではない。信頼できる是正ファイルがカバーすべきものの基準である。 データ最小化は中心的な問題である。回収ベンダーは支払いを追求するために特定のフィールドを必要とするかもしれない。利用可能なすべての患者データ、無期限の保持、または広範なアクセス経路を必要としないかもしれない。説明責任ファイルは、どのデータが転送されたか、各フィールドがなぜ必要だったか、AMCA にどのくらいの期間留まったか、古い口座が消去されたか、支払いデータが分割されたか、機密識別子が可能な限りマスクまたはトークン化されたかを尋ねるべきである。答えは証拠に基づくべきであり、想定に基づくべきではない。 請求データはまた、医療プライバシーと金融詐欺の境界に位置する。支払いページの侵害はカードデータや銀行データを暴露する可能性がある。人口統計データは個人情報窃盗を促進する可能性がある。医療コンテキストは恥ずかしさや強制のリスクを生み出す可能性がある。回収コンテキストは、すでに経済的プレッシャー下にある脆弱な患者に影響を与える可能性がある。したがって、このパスでのベンダー侵害は、通常のカスタマーサービス漏洩とは異なる社会的重みを持つ。

支払いページは信頼の境界であった

Quest の公開開示は AMCA の電子支払いページに言及した。支払いページは単なる便利な機能ではない。患者が医療請求に応じて財務情報を提出または管理する高リスクの境界である。ページは取引リスクと医療コンテキストリスクを伴う。支払いページが侵害された場合、損害には直接的な支払い漏洩、個人情報リスク、請求コミュニケーションへの信頼喪失が含まれる可能性がある。 PCI セキュリティ基準評議会の文書ライブラリはhttps://www.pcisecuritystandards.org/document_library/で、基準の概要はhttps://www.pcisecuritystandards.org/standards/で、支払いカードセキュリティ期待の有用な文脈を提供している。AMCA の正確な統制状態を証明するわけではないが、なぜ支払いページがセグメンテーション、セキュア開発、脆弱性管理、ロギング、アクセス制御、および証拠を必要とするかを示している。ベンダーの支払いページを使用する医療機関は、ページがスコープ内か、どのように評価されるか、誰が監視するか、どのような契約上の証拠が利用可能かを理解する必要がある。 支払いページはまた、フィッシングとリダイレクトのリスクでもある。患者は請求書、回収通知、メール、電話、ポータルプロンプトを受け取る可能性がある。第三者を通じて支払いを求められた場合、宛先が正当で保護されていると信頼する必要がある。その宛先での侵害は、収益サイクルコミュニケーション連鎖全体を損なう。説明責任ファイルは、医療機関がベンダーの支払いセキュリティをテストし、苦情を監視し、脆弱性スキャンをレビューし、インシデント報告を要求し、支払いサイトからアクセス可能なデータを特定したかどうかを尋ねるべきである。 KrebsOnSecurity の報道はhttps://krebsonsecurity.com/2019/06/breach-at-medical-collections-firm-amca-impacts-millions/で、BankInfoSecurity の報道はhttps://www.bankinfosecurity.com/amca-breach-tally-grows-to-20-million-patients-a-12607で、タイムラインと規模のための有用な公開報告ソースである。公式提出書類や規制当局の記録に取って代わるべきではない。それらの役割は、回収会社のインシデントが多くの医療機関と数百万人に影響を与えたことを一般がどのように知ったかを示すことである。 一般は過度に主張することを避けるべきである。侵害の事実だけから AMCA 支払いページのすべての統制状態を推測することはできない。しかし、支払いページの露出が開示されると、最終的な医療機関は、将来のページがレビューされ、ベンダー証拠が最新であり、サポートシステムにルーティングされるデータが制限されていることを証明する必要がある。この証明は患者を保護し、医療機関をベンダーリスクが侵害通知まで不可視として扱うことから保護する。

患者への害は検査結果よりも広い

Quest-AMCA 記録は、検査室テスト結果が Quest が AMCA が受け取ったと言ったデータの一部ではなかったと指摘することで要約されることがある。この特定の事実は重要であり、曖昧にすべきではない。しかし、イベントを低感度の請求問題に矮小化するために使用されるべきではない。医療請求・回収記録は依然として、身元、支払い能力、プロバイダー関係、口座残高、および人が医療サービスを利用したという事実を明らかにする可能性がある。多くの人にとって、これらの詳細は、特定の結果が影響を受けたシステムの範囲外に留まっていても機密である。 害のモデルには複数の層がある。第一に、個人情報と財務リスクであり、特に社会保障番号、支払い情報、生年月日、または口座詳細が含まれる場合。第二に、プライバシーリスクであり、回収関係が医療サービス関係を暗示する可能性があるため。第三に、負担であり、患者は通知を読み、口座を監視し、詐欺警告に対応し、自分が選んでいないベンダーが正当かどうかを判断しなければならないため。第四に、信頼の害であり、テストを注文または処理した医療ブランドが患者が知っている機関であり続けるため。 この多層的な害が、ベンダー最小化が重要である理由である。回収ベンダーは口座を解決するために十分な情報を必要とするかもしれないが、すべての履歴フィールド、すべての識別子を明確に、または口座閉鎖後の無期限の保持を必要としないかもしれない。ベンダーが機密を必要とする場合、上位機関はその理由、どのように保護されるか、どのくらいの期間留まるか、削除がどのように検証されるかを説明できなければならない。この証拠がなければ、ベンダー関係は運用上の便利さを患者リスクに変える。 このケースはまた、患者コミュニケーションが事業体の複雑さの背後に隠れることを避けるべき理由を示している。単に子会社に言及する通知は、患者が自分のデータがどのようにそこに到達したかを混乱させる可能性がある。より強力な通知は、関係を簡単な言葉で説明する:検査室、収益サイクルプロセス、回収ベンダーが請求連鎖の一部であった。次に、影響を受ける人々に、どのカテゴリが含まれていたか、どのカテゴリが含まれていなかったか、どのような保護サービスまたは手順が利用可能か、ベンダー経路で何が変わったかを伝える。明確さは患者の負担を減らし、誤情報を減らす。 公開記録は、影響を受ける個人ごとの正確な損害計算を許可していない。直接的な詐欺を経験しなかった個人もいるかもしれない。かなりの監視と個人情報に関する不安を経験した人もいるかもしれない。説明責任のポイントは、個々の害に関する不確実性が、データの系統と最小化の改善を推進すべきであり、満足感を推進すべきではないということである。患者規模での露出が不確かな場合、記録と契約を持つ組織は、不確実性を狭めるための作業を行うべきである。

ベンダー選定は一度きりの購買決定ではない

ベンダーの説明責任は、選定が継続的な監視システムではなく購買イベントとして扱われるためにしばしば失敗する。医療機関は契約時にベンダーをレビューし、契約上のセキュリティ義務に署名し、その後定期的な証明書に依存するかもしれない。ベンダーが長年にわたって機密患者データを扱う場合、これは不十分である可能性がある。セキュリティ態勢は変化し、スタッフは変わり、システムは変わり、攻撃者は変わり、レガシーデータは蓄積される。 AMCA インシデントは継続的な監視の質問を提起する。上位医療機関は、どのベンダーおよびサブベンダーが患者データを保持しているかを知っていたか?迅速な脆弱性修正を要求したか?独立したセキュリティ評価を受け取ったか?否定的なシグナル、苦情、または侵害の指標を監視したか?監査権を持っていたか?その権利を行使したか?AMCA が古い口座に対してどのデータを保持しているかを知っていたか?公開ソースはこれらの質問のすべてに答えるわけではないが、存在すべき証拠を特定する。 ニュージャージー州の複数州和解発表はhttps://www.njoag.gov/ag-grewal-announces-multistate-settlement-with-american-medical-collection-agency-over-data-breach-that-exposed-personal-information-of-21-million-consumers/で重要である。なぜなら、AMCA のセキュリティ慣行とインシデント後の消費者被害に注意を向けるからである。インディアナ州の発表など他の州の発表はhttps://www.in.gov/attorneygeneral/intelligence team/press-releases/attorney-general-todd-rokita-announces-21-million-settlement-with-american-medical-collection-agency/で、コネチカット州の消費者保護資料はhttps://portal.ct.gov/ag/press-releasesで、イベントを州の執行コンテキストに置くのに役立つ。これらのソースは規制コンテキストのために使用される;Quest のすべての非公開契約や監視措置を明らかにするわけではない。 ベンダー選定にはデータ分類も含まれる。医療請求データを扱うベンダーは、通常の印刷ベンダーや一般的なマーケティングベンダーのように分類されるべきではない。分類は、デューデリジェンス、契約条件、監視頻度、暗号化要件、アクセス制御、侵害タイムライン、サイバー保険期待、終了権限を促進すべきである。データに社会保障番号や支払い情報が含まれる場合、分類はより厳格になるべきである。 契約上の救済は、それらが執行可能である場合にのみ重要である。契約は通知、セキュリティ管理、補償、監査、または削除を要求するかもしれない。しかし、ベンダーが大規模な侵害後に財務的に崩壊した場合、救済は制限される可能性がある。AMCA の破産コンテキストは、ベンダーの失敗がポストイベント回復の実用的価値をどのように制限できるかを示しているため重要である。これが、上位の管理とデータ最小化が非常に重要である理由である。防止と検証は、苦戦しているベンダーからの救済に依存するよりも強力である。 継続的な監視はまた、規制境界を越える証拠を必要とする。ベンダーは、データを暗号化し、システムをスキャンし、スタッフを訓練し、支払いページを監視していると主張するかもしれない。上位医療機関は、患者データの感度に比例したレベルでそれらの主張をテストまたは検証する方法を必要とする。これには、独立した評価レポート、対象を絞った監査、侵入テストサマリー、脆弱性修復証拠、インシデント対応訓練、重要な電子支払い管理の直接レビューが含まれる可能性がある。価値は書類の存在ではなく、リスクが特定され、例外がクローズされ、未解決の問題がエスカレートされたことを示す決定記録にある。 サブベンダーの可視性は別の要件である。収益サイクルパートナーは口座を回収機関にルーティングする可能性があり、その機関はホスティングプロバイダー、支払い処理業者、コールセンター、郵便会社、またはソフトウェアベンダーに依存する可能性がある。患者がこの連鎖を見ることはめったにない。上位データ管理者はそれを見るべきである。契約は、重要なサブベンダーの通知と承認、データフローマップ、同等のセキュリティ義務を要求すべきである。そうでなければ、医療機関は患者データがより大きなエコシステムを通過している間に単一のベンダーを管理していると考えるかもしれない。 監視はまた、サービスの終了を含むべきである。ベンダー関係が終了したとき、医療機関はどのデータが残っているか、何を返却すべきか、何を削除すべきか、法的理由で何を保持すべきか、誰が完了を証明するかを知る必要がある。過去または破綻したベンダーの侵害は、古いデータが残っている場合、現在の患者に影響を与える可能性がある。回収ワークフローでは、古い口座が長期間にわたって蓄積される可能性がある。したがって、保持の規律は、レコード管理の関心事だけでなく、セキュリティ措置である。

通知のタイミングは連鎖全体をテストする

マルチパーティのベンダーインシデントでは、通知のタイミングが調整のテストとなる。侵害されたベンダーは調査し、顧客に通知しなければならない。仲介者は医療機関に通知しなければならない。医療機関は患者への影響を評価しなければならない。規制当局は通知を必要とするかもしれない。患者は明確な情報を必要とする。各ハンドオフは遅延や混乱を加える可能性がある。説明責任の質問は、連鎖がインシデント前に設計されていたのか、それともプレッシャーの下で事後的にまとめられたのかである。 Quest の8-K 公開声明は、Quest が AMCA からサプライヤーチェーンを通じて情報を受け取った後、イベントがどの程度迅速に投資家と一般に届いたかを示すため有用である。Quest の2019年7月の10-Q フォームはhttps://www.sec.gov/Archives/edgar/data/1022079/000102207919000166/dgx0630201910-q.htmでフォローアップの証券コンテキストを提供している。SEC 提出書類は患者通知ではないが、会社がインシデントを公開企業のリスクと開示事項としてどのように説明したかを示している。 患者は投資家とは異なる情報を必要とする。自分のデータが含まれている可能性があるか、どのカテゴリが関係しているか、会社が何をしているか、個人情報と支払いリスクをどのように監視するか、誰に連絡するかを知る必要がある。規制当局はコンプライアンスを評価するために十分な詳細を必要とする。ビジネスパートナーはデータ転送を続けるべきかどうかを理解する必要がある。コミュニケーションプログラムは、患者に自分でベンダーチェーンを解読させるべきではない。 通知はまた、データの系統をテストする。患者に正確に通知するために、組織はどの患者記録が AMCA に転送されたか、どれが影響を受けたシステム上にあったか、どのデータフィールドが存在するか、どの期間が関係しているかを知らなければならない。組織がこの系統を迅速に再構築できない場合、遅延はデータガバナンスの弱さの証拠となる。ベンダー関係は患者記録のブラックボックスを生み出すべきではない。 成熟した系統記録は、実用的な質問に迅速に答える。どの口座がベンダーに送られたか?どのフィールドが含まれていたか?どの口座に支払いデータがあったか?どの口座に社会保障番号が含まれていたか?どの記録が古かったか?どの口座がすでに解決されていたか?どの患者住所が通知に十分に現行だったか?どの規制当局に通知すべきか?どのコールセンタースクリプトが正確だったか?これらの回答に複数のシステムからの手動再構築が必要な場合、ベンダー侵害はより困難になる。 通知はまた、チェーン全体で一貫した言語を必要とする。ある当事者がイベントを支払いページ活動と説明し、別の当事者が回収会社の侵害、第三者が医療データインシデントと説明する場合、患者は矛盾したメッセージを聞く可能性がある。一貫性は詳細を減らすことを意味しない。影響を受けたベンダー、上位関係、データカテゴリ、除外カテゴリ、期間、利用可能なサポートなどの基本的事実を調整することを意味する。AMCA のようなマルチクライアントイベントでは、この調整は運用的に困難であるが、必要である。 通知プログラムはまた、制御是正に情報を提供すべきである。患者、銀行、プロバイダー、規制当局からの質問は、組織のデータマップのギャップを明らかにする可能性がある。患者がなぜ回収ベンダーが自分の情報を持っているのか尋ねた場合、答えは即興であるべきではない。コールセンターがベンダー関係を説明できない場合、インシデント対応計画は組織の公の端に達していない。規制当局が影響を受けるデータカテゴリを要求し、組織がベンダーファイルと内部記録を調整できない場合、是正にはセキュリティツールだけでなくデータガバナンス作業が含まれるべきである。 公開記録は、すべての事業体にわたる分単位の正確な通知タイムラインを提供していない。しかし、患者通知がマルチパーティの課題であったことを示している。教訓は、ベンダー契約には証拠保存義務、迅速な報告義務、データフィールドインベントリ、影響を受ける記録のエクスポート形式、共同インシデント対応バインダーを含めるべきであるということである。侵害後にベンダーが患者データをどのように保存しているかを知るために待つのは遅すぎる。

最終的な責任はデータに従う

AMCA インシデントからの最も重要な教訓の一つは、責任がインフラストラクチャに従わない場合でもデータに従うということである。医療機関は侵害されたサーバーを運営していないかもしれないが、患者データをベンダーに送信する決定、どれだけのデータを送るか、ベンダーがそれを保持する期間、どのような保護証拠が要求されるかの責任を依然として負っている。これは実践的な監視の質問であり、スローガンではない。 データ主権とローカリティのトピックは、患者データが即時の医療環境を離れ、最終的な回収ワークフローに入ったために関連する。ローカリティは地理だけではない。それはまた、制度的配置:どの事業体がデータを保持するか、どのルールの下で、どのような監査権で、どのような実践的セキュリティ能力で。回収ベンダーが自分の情報を保持している患者は、元の検査室ポータルを使用している患者よりも直接的な可視性が低く、実用的な選択肢が少ない。 クラウドサービス依存は、ベンダーのシステムが大規模クラウドサービスでなくても関連する。より広い依存パターンは同じである:重要なデータが第三者運用環境にある。顧客向け組織は、その環境の制御、ログ、対応規律、財務的回復力に依存する。ベンダーが失敗した場合、上位組織は依然として患者に答えなければならない。したがって、サービス依存は医療データリスクモデルの一部である。 セキュリティ自動化は、上位組織がベンダーを規模に応じて監視する方法を必要とするため重要である。アンケートだけでは弱い。自動化された証拠には、外部攻撃面監視、脆弱性開示チャネル、侵害インテリジェンスアラート、証明書およびドメイン監視、支払いページ健全性チェック、監査ログ要件、データ転送マッチング、継続的統制証明書が含まれる可能性がある。自動化は判断の代わりにはならないが、悪化するベンダーセキュリティが見えなくなる可能性を減らすことができる。 これは、医療機関がすべてのベンダーシステムを完全に制御できることを意味しない。それは、ベンダーを使用するかどうか、どれだけのデータを共有するか、どのような制御を要求するか、どのような証拠を要求するか、いつデータの送信を停止するかを決定できることを意味する。これらの決定は説明責任を生み出すのに十分である。公開記録は、制御面が存在したことを確認するためにすべての非公開詳細を知ることを要求していない。

破産は契約上の救済が十分でない理由を示す

侵害後の AMCA の財務的苦境はサイドストーリーではない。それは説明責任の教訓の一部である。ベンダーが実行可能性を脅かすほど大きな侵害に苦しむ場合、上位顧客は契約上の救済、補償、および継続的な協力が期待よりも信頼性が低いと感じるかもしれない。破産するベンダーは依然として義務を負っているかもしれないが、実用的な回収はより複雑になる。患者は決して見たことのない契約に頼ることはできない。 公開された破産および執行報道(デラウェア破産裁判所のサイトhttps://www.deb.uscourts.gov/や AMCA 和解に関する規制当局の発表を含む)は、ベンダーの回復力が重要である理由を説明するのに役立つ。ポイントは、すべての医療会社を破産専門家に変えることではない。ポイントは、ベンダーリスクには失敗後の対応能力が含まれるということである。数百万の機密記録を保持する脆弱なベンダーは、すべての上位顧客にとって継続性と説明責任の問題を生み出す可能性がある。 したがって、契約上の文言は運用上の保護措置と組み合わされるべきである。データ最小化は、ベンダーが失敗した場合の爆発半径を減らす。暗号化とトークン化は、露出したフィールドの有用性を減らす。セグメンテーションは横移動を制限する。監視は滞在時間を減らす。迅速なエクスポートと削除の権利は、顧客が対応するのに役立つ。保険はコストを助けるかもしれないが、プライバシーを回復しない。独立した評価は役立つが、結果がレビューされ、行動に移された場合に限る。 財務的回復力は、高ボリュームの患者データベンダーのデューデリジェンスの一部であるべきである。数百万の記録を扱うベンダーは、セキュリティに資金を提供し、インシデント対応を行い、フォレンジック証拠を維持し、通知をサポートし、規制当局と協力できなければならない。ベンダーのビジネスモデルが弱い、負債が多い、または大量のレガシーデータの保持に依存している場合、上位医療機関はそれが患者リスクにどのように影響するかを理解すべきである。ベンダーの失敗が対応を混乱させる可能性がある場合、ベンダーのバランスシートはセキュリティから切り離せない。 記録保持の問題もある。ベンダーが苦境に陥った場合、誰が記録、影響を受ける記録のエクスポート、支払いページ証拠、削除証明書を管理するか?上位顧客は通知と処理に必要なデータを入手できるか?規制当局は証拠にアクセスできるか?患者は信頼できる回答を受け取れるか?これらの質問は、危機前の契約および机上訓練に属する。ベンダーが支払不能になると、レバレッジは低下し、タイムラインは制御が難しくなる可能性がある。 したがって、AMCA のケースは出口計画を主張する。医療機関は、ベンダーから口座を移行し、転送を停止し、残高を決済し、患者に通知し、失敗したベンダーの善意に完全に依存せずに証拠を維持する方法を知る必要がある。これはビジネス継続性の問題だけではない。未解決の口座と保持されたデータは、運用関係が崩壊した後も露出したままになる可能性があるため、患者プライバシーの問題である。 和解記録はまた、執行がベンダーに焦点を当てることができるが、患者の信頼はベンダーを超えて広がることを示している。患者は AMCA、Optum360、Quest、および検査を注文したプロバイダーを区別しないかもしれない。公共向けブランドはしばしば信頼の負担を負う。この信頼の負担が、上位のデューデリジェンスが単なる防御的コンプライアンスではなく、患者サービスの一部である理由である。 公開記録の不明点は重要である。私たちは Quest または仲介者が持っていたすべての契約上の救済、侵害前のすべての措置、またはその後のすべての回復ステップを知っているわけではない。しかし、破産コンテキストは証拠に基づく推論を支持する:侵害後のベンダー救済に依存することは、データを制限し、制御を検証し、証拠が悪化したときに迅速に方向転換できるベンダープログラムを構築するよりも弱い。

より強力なベンダー監視ファイルには何が含まれるか

AMCA 後の信頼できる是正ファイルは、データマッピングから始まる。請求・回収チェーンに送られたすべてのデータカテゴリ、各カテゴリの法的およびビジネス上の目的、保持期間、ベンダーおよびサブベンダーの場所、システム所有者、支払いおよび識別フィールドに適用される制御を特定する。データフィールドがインシデント後に縮小されたかどうか、履歴データが不要になった場所で消去されたかどうかを示す。 次に、ベンダー保証を文書化する。これには、オンボーディング時のデューデリジェンス、独立した評価、脆弱性管理証拠、侵入テストサマリー、支払いページ制御証拠、侵害通知義務、監査権、インシデント対応バインダー、エスカレーションパスが含まれる。誰が証拠をレビューし、どのような決定が続いたかがわかる。アンケートの山よりも、制御例外のクローズ記録の方が価値がある。 ファイルはまた、監視を文書化する。支払いページの場合、これには変更検出、ドメインおよび証明書監視、Web アプリケーションテスト、ロギング要件、マルウェアスキャン、詐欺シグナルレビュー、アラート共有義務が含まれる可能性がある。保存された患者データの場合、アクセスレビュー、暗号化証拠、データ損失監視、保持監査、アカウント終了制御が含まれる可能性がある。コミュニケーションの場合、次のインシデントの前に準備された患者通知テンプレートと規制当局通知タイムラインが含まれる可能性がある。 是正ファイルには出口オプションを含めるべきである。医療機関は、ベンダーへのデータ送信を停止し、記録を取得または削除し、口座を移行し、ベンダーが失敗した場合に証拠を維持する方法を知る必要がある。ベンダーがもはや稼働していない場合に患者と通信する方法を知る必要がある。その計画をテストすべきである。組織に出口経路がない場合、ベンダー集中はリスクが高い。 最後に、ファイルは、高ボリュームの患者データベンダーに対する取締役会または経営陣の監督を示すべきである。リーダーシップはすべてのスキャナー結果をレビューする必要はないが、どのベンダーが大規模に機密データを保持しているか、どれに未解決の問題があるか、どの制御が交渉不可能かを理解すべきである。AMCA は、ベンダーセキュリティが大規模に患者リスクになったため、公開説明責任イベントとなった。

AMCA 後に患者と規制当局が必要としたもの

患者は、データカテゴリ、露出経路、保護手順、および質問に答える責任者についての明確さを必要としていた。イベントが回収ベンダーを含むこと、通知を検査室システムの直接侵害として誤読しないことを知る必要があった。また、ベンダー経路が変更されたという保証も必要であり、単なる説明ではなかった。多くの患者にとって、最も重要な質問は医療検査結果が露出したかどうかであった;Quest の公開声明は、検査室テスト結果は AMCA に提供されなかったと述べた。この特定の事実は重要であり、維持されるべきである。 規制当局は異なる記録を必要としていた。AMCA のセキュリティ慣行、通知決定、消費者被害、および上位医療機関が適切なベンダー監督を持っていたかどうかを理解する必要があった。州司法長官は AMCA に対して行動した。HHS および他の規制当局は、独自の医療データ監督経路を維持している。一般はこれらの経路を単一の未分化な執行ストーリーに統合すべきではない。各経路は異なる質問を提起する。 ビジネスパートナーは、回収ワークフローが継続しても安全かどうかを理解する必要があった。単一のベンダーが複数の医療ブランドを扱っていた場合、インシデントはセクター全体の依存問題にもなった。同じ支払いページまたはセキュリティ脆弱性が多くの上位事業体に影響を与える可能性がある。これが、医療における共有ベンダーが規模だけが示唆するよりも強力な監査に値する理由である。 投資家は重要なリスクのコンテキストを必要としていた。SEC 提出書類はこの角度を提供する。患者通知や規制当局報告に取って代わるものではないが、ベンダーデータ露出が公開企業の開示事項になる可能性があることを示している。ベンダーインシデントが数百万の患者に影響を与える場合、サプライヤーチェーンを使用した医療会社に法的、運用的、風評的、および処理リスクを生み出す可能性がある。 最も強力な公開結論は正確だが断定的である。Quest は、患者データが影響を受けたベンダーチェーンにあったため、公開上 AMCA インシデントに結び付けられた。直接的な侵害は、公開記録に基づき AMCA にあった。説明責任の問題は、医療検査会社と収益サイクルパートナーが、ベンダーを使用する前、最中、後に最終的な保護を検証できなければならないということである。患者は自分でその検証を行うことはできない。

Quest と AMCA 後の説明責任基準

このケース後の基準は、医療データベンダー関係が患者信頼境界の延長として扱われるべきであるということである。医療機関は、患者データがどこに行くか、なぜそこに行くか、どれだけ送られるか、どのくらい保持されるか、誰がアクセスできるか、どの支払いシステムに触れるか、どのような監視が存在するか、ベンダーが侵害のプレッシャーの下でどのように行動するかを知るべきである。それらの答えが利用できない場合、データ転送はガバナンスされていない。 基準はまた、ベンダーの失敗が完全な説明であるという考えを拒否すべきである。即時の侵害サイトを説明するかもしれない。上位データ管理者が十分な監督、最小化、契約上の権利、監視、および退出能力を持っていたかどうかには答えない。説明責任は実質的な支配権に従い、上位事業体はベンダー選定とデータ転送に対して実質的な支配権を持っている。 患者にとって、重要な約束はどのベンダーも決して失敗しないということではない。それは非現実的だろう。重要な約束は、医療請求データを保持するベンダーが、証拠に基づくプログラムの枠組み内で選定、監視、制限、および交換されるということである。彼らが失敗した場合、通知は明確でなければならず、データ系統は既知でなければならず、是正は侵害当事者にラベルを貼るだけでなく、依存の根源に達しなければならない。 したがって、Quest Diagnostics の AMCA 露出は、医療データ責任が請求・回収アーキテクチャを通じてどのように移動するかを示すため、リスクと説明責任シリーズに属する。このケースは支払いページや回収会社だけに関するものではない。データ経路を誰が管理したか、誰がベンダーを検証したか、誰が負荷を制限したか、誰が通知を調整したか、誰が患者信頼の損害を負ったか、そして誰が今や最終的な医療請求ワークフローが侵害が公開される前よりも安全であることを証明できるかに関するものである。