医療分野がデータ侵害コストで全業界トップ
14年連続で、医療分野はあらゆる業界の中で最もデータ侵害コストが高い状況が続いています。IBMの2025年レポートによると、平均コストは侵害1件あたり742万ドルです。2024年の977万ドルから減少しましたが、他のどの分野をも大幅に上回っています。
全業界の世界平均:444万ドル。
主な数字
| 指標 | 数値 | 出典 |
|---|---|---|
| 平均侵害コスト | 742万ドル | IBM 2025 |
| 露出記録1件あたりのコスト | 398ドル | IBM 2025 |
| 発見・封じ込めまでの日数 | 279日 | IBM 2025 |
| 大規模侵害件数(2025年) | 710件 | HHS OCR |
| 影響を受けた人数(2025年) | 6,200万人 | HHS OCR |
| ランサムウェア攻撃件数 | 445件 | Comparitech 2025 |
医療分野の侵害は発見・封じ込めに279日かかります。世界平均より5週間長く、約10か月間リスクにさらされることになります。
医療記録が高値で取引される理由
医療記録はダークウェブでクレジットカード情報の10〜40倍の値段で売られています。その理由はシンプルです。1件の記録に多くの情報が詰まっているからです。
豊富な個人情報
1件の記録には以下が含まれる場合があります:
- 氏名、生年月日、社会保障番号
- 住所、電話番号、メールアドレス
- 保険・雇用先情報
- 家族の情報
多様な詐欺の手段
盗まれた記録は以下に悪用されます:
- 医療なりすまし詐欺
- 保険詐欺
- 処方箋詐欺
- 社会保障番号を使った税金詐欺
変更できないデータ
クレジットカードはキャンセルできます。しかし、医療履歴、社会保障番号、生年月日は変更できません。そのため、これらのデータは犯罪者にとって何年も利用価値があります。
Change Healthcareへの攻撃
医療分野で過去最大のデータ侵害が、2024年2月にChange Healthcareを直撃しました。ランサムウェアグループBlackCat/ALPHVがこの攻撃を実行しました。
| 指標 | 数値 |
|---|---|
| 影響を受けた記録数 | 1億9,270万件 |
| 総コスト | 31億ドル |
| 支払った身代金 | 2,200万ドル |
| システム停止期間 | 数週間 |
この攻撃は米国全土の請求処理と処方箋処理を遮断しました。医療機関は請求を提出できず、患者は薬を入手できず、収益が止まりました。
グループは2,200万ドルの身代金を受け取った後も、患者データをオンラインに公開しました。支払いは何の役にも立ちませんでした。
ランサムウェアの戦術変化
医療分野のランサムウェアは2024年から2025年にかけて大きく変化しました。
| 指標 | 2024年 | 2025年 | 変化 |
|---|---|---|---|
| ファイル暗号化率 | 74% | 34% | −54% |
| データ窃取率 | 94% | 96% | +2% |
| 平均身代金要求額 | 400万ドル | 34.3万ドル | −91% |
| 平均支払額 | 147万ドル | 15万ドル | −90% |
攻撃者は今やファイルのロックではなくデータ窃取に集中しています。バックアップが改善され、ファイルロックの効果が薄れました。盗まれたデータは攻撃終了後も長期間価値を持ち続けます。
窃取率96%は、今やほぼすべての攻撃がデータを盗むことを意味します。
HIPAAの18の識別子
HIPAAは保護が必要な保護医療情報(PHI)として18種類を列挙しています。これらの識別子に紐付いた医療データはすべて、法律上PHIとなります。
| 番号 | 識別子 | 例 |
|---|---|---|
| 1 | 氏名 | 患者名、家族名 |
| 2 | 地理的データ | 住所、市区町村、郵便番号 |
| 3 | 日付 | 生年月日、受診日、退院日 |
| 4 | 電話番号 | すべての電話番号 |
| 5 | FAX番号 | すべてのFAX番号 |
| 6 | メールアドレス | すべてのアドレス |
| 7 | 社会保障番号 | すべてのSSN |
| 8 | 医療記録番号 | MRN、カルテ番号 |
| 9 | 健康保険ID | 受給者番号 |
| 10 | 口座番号 | 患者口座番号 |
| 11 | 免許証番号 | 運転免許証など |
| 12 | 車両ID | VIN、ナンバープレート |
| 13 | 機器ID | 医療機器のシリアル番号 |
| 14 | WebURL | 患者ポータルURL |
| 15 | IPアドレス | すべてのIPアドレス |
| 16 | 生体情報 | 指紋、声紋 |
| 17 | 顔写真 | 類似の画像を含む |
| 18 | その他の固有ID | コード、特性 |
サードパーティベンダーが最大の弱点
医療分野のCISOが知るべき重要な事実があります:
盗まれたPHIの80%以上はサードパーティベンダーから流出しており、病院からではありません。
Change Healthcareは個々の病院を侵害したのではありません。数千の医療機関の請求処理を行うクリアリングハウスを攻撃しました。1社のベンダーの失敗が全員に波及しました。
PHIのセキュリティは、最も弱いベンダーの強さと同等に過ぎません。
HIPAA罰則は増加傾向
HHSの公民権局(OCR)が行動に移っています。2025年:
| 指標 | 数値 |
|---|---|
| 罰則を科したケース数 | 21件 |
| 罰則の合計額 | 833万ドル |
| 主な対象 | リスク分析の不備 |
OCRは適切なリスク分析を怠った組織を標的にしています。これはセキュリティ規則の基本要件であり、よくある不備箇所です。
anonym.legalによるPHI保護
HIPAAの18識別子すべてに対応
anonym.legalはHIPAAの18種類の識別子すべてをチェックサム検証付きでカバーしています。氏名、日付、SSN、医療記録番号、電話、FAX、メール — すべて対応。詳細はHIPAAコンプライアンスガイドをご覧ください。
可逆暗号化
研究、監査、法的レビューのためにデータを復元する必要があるチームも多くあります。anonym.legalはAES-256-GCM暗号化を使用しており、適切なアクセスキーで元に戻すことができます。
セーフハーバー準拠
HIPAA セーフハーバー方式では18種類の識別子すべての除去が必要です。anonym.legalのHIPAAプリセットが自動で対応します:
- 氏名 → [PERSON]
- 日付 → 年のみ
- 郵便番号 → 上3桁(人口2万人超の場合)
- 直接識別子 → 暗号化トークン
ローカル処理
侵害の平均コストが742万ドルに達する中、PHIを外部サーバーに送ることはできません。anonym.legalのデスクトップアプリはご自身のマシン上で動作します。保護医療情報はネットワークの外に出ません。
何もしないことのコスト
| シナリオ | コスト |
|---|---|
| 医療分野の平均侵害 | 742万ドル |
| anonym.legal ビジネスプラン | 月29ユーロ |
| 年間コスト | 348ユーロ |
| 損益分岐点 | 侵害コストの0.005%防止 |
anonym.legalが侵害コストの0.005%を防ぐだけで、コストを回収できます。Change Healthcareの攻撃は31億ドルのコストをもたらしました。ベンダーチェーン全体での適切なPHI管理があれば、防げた可能性があります。
今すぐ始める
- デスクトップアプリをダウンロード — ファイルはあなたのマシンに留まります
- Officeアドインをインストール — 臨床文書を保護
- 無料トライアルを開始 — 200トークンでテスト可能