ヘルスケア業界で働く人達にとって、自前のデバイスを持ち込みむこと(BYOD)が効率に基づいたトレンドになっている。使い慣れたデバイスでコミュニケーションを取ることで医療チームの対応が早くなり、結果として患者のエクスペリエンスの向上に繋がっている。

事実、BYODは充分広まっていて、これを単なる流行と呼ぶのは、もはや適切ではないかもしれない。医療におけるコミュニケーション・ソリューションを提供するSpok社が昨年行った調査によると、医療機関の71%はスタッフが自身のデバイスを職場で使うことを許可しているそうだ。また医者の63%、看護師の41%が許可を得ずに自前のデバイスを使用しているという。

なんにせよ、BYODの広まりと共に、その運用には厳密な規制とポリシーが求められる。我々は人であり、人はミスを犯すものだ。これは避けられないことかもしれないが、組織全体のセキュリティを揺るがすことは避けられるはずだ。

BYODの規制

会社内の全員が自身のデバイスを使わなくなるというのは現実的ではない話だ。また、従業員全員のデバイスの購入と管理の為の予算を会社が負担するのも同じく現実的でない。しかし、モバイルデバイスが生産性や効率を生み出すことは否定できないだろう。

SamsungがスポンサーしたFrost & Sullivanの調査によると、従業員はモバイルデバイスの使用により生産性を34%向上できるそうだ。このような利点がある一方で、データ保護はやはりヘルスケア業界でのプライバシーやセキュリティ規制を考えると悩ましいところだ。全員が自前のデバイスを使うとなると、課題は格段に難しくなる。これを克服するために様々な挑戦が続く中、34の州議会でモバイルヘルスケアのリスクを抑制する63の議案が提出された。その多くは遠隔医療や遠隔ヘルスケアに何が伴うのか、何を以て適切な措置とするのかを定義するための議案だ。

アーカンソー州を例に挙げると、議会では学校に通う子供が遠隔ヘルスケアサービスを受けられるのは、かかりつけの医者か承認を得た医者に限ると決定された。これらの法律がヘルスケアセキュリティに長期的な利益をもたらすかは分からない。問題の本質はBYODを許可するか否かではなく、個人のデバイスを企業のネットワークと等しく安全であるかどうかだ。次に挙げる点をチェックしてみよう。

従業員ごとに役割分担し、それぞれがアクセスできるものを定義する

まず、従業員達がその役割に応じて、どれ程のアクセスが必要かルールを定める。従業員が個々で管理するのではなく、それぞれの役割ごとにガイドラインを決めよう。従業員がうっかりセキュリティの穴を開けて、情報漏洩のリスクを高めてしまう要素をなくす上でも有効だ。同僚とパスワードを使いまわして誰でもアクセスできるといった状況はコントロールできる。フェニックス大学の医療専門カレッジによる調査では、看護師の59%、管理者の60%が、役割ごとのアクセス管理は患者データの保護に最も効率的な方法だと答えている。

十分なセキュリティ対策を行っていないデバイスを使わせない

内部者による攻撃のほか、ハッキングやITインシデントが2017年に起きた情報漏洩の37%を占めている。これらの多くは従業員のミスによるものではない。ネットワーク内の微弱なデバイスのセキュリティが原因である。そこで従業員のデバイスにロックと暗号化を施し、安全性を確保することが大切だ。

パスワードでも十分だが、指紋や人相、虹彩による認証はより高レベルなセキュリティを提供できる。パスワードを推測するより、これらバイオメトリクスを複製することは難しく、デバイスが紛失・盗難にあった場合でもローカルに保存されたデータをより確実に守ることができる。

エージェントレスソフトを使い、デバイスにデータを載せないようにする

今日のスマートフォンやパーソナルデバイスは、中身のデータを守るための様々なバイオメトリクス認証に対応している。だがそれ以前に、データをデバイスに置かないことで、盗難にあった時でもデータの安全を確保できる。エージェントレスソフトによってデバイス内にデータを持たなくとも、プログラムやファイルにアクセスすることが可能だ。

どのデバイスからデータにアクセスしようが、データはクラウドか、あるいは企業内のサーバに安全に保管される。セキュリティ管理者は社内からアクセスをコントロール可能で、セキュリティが破られたデバイスからのアクセスを制限することも出来る。企業はデータが安全なほど安心できるし、従業員も自分たちのデバイスに面倒くさいソフトをインストールする必要がなくなるだろう。

アップデートのリマインダーを送る

技術の進歩に追従してアップデートされていくのが良いBYODポリシーだ。ポリシーは重要だが、従業員規則のハンドブックを読めと言われて読む人は多くはないし、定期的なリマインダーがないと簡単に忘れられてしまう。

従業員のセキュリティ意識をフレッシュに保つためにメールなどでリマインダーを送ろう。従業員のデバイスがセキュリティの基準を満たしているか定期的にチェックしてみるのも良いだろう。従業員が簡単にデバイスの追加や削除、アップグレードの際にセキュリティで躓かないようにすることも大切だ。

BYODに関するポリシーの整備はかなりのチャレンジに思えるが、それを助けるテクノロジーの選択肢はたくさん存在する。デバイスのセキュリティを従業員に任せて企業のネットワークに穴をあけるより、テクノロジーを使ってデータを出来るだけ安全に保つべきだ。