データバックアップと復元が医療業界に不可欠な理由

診察予約から処方箋の入力まで、データは患者の治療に関する一連の過程で不可欠な役割を果たします。医療機関の患者との最初の接点は通常、予約から始まります。これには、患者の過去の検査やその結果に関する詳細な個人情報や、患者の治療歴が含まれます。患者の診察を通して、電子カルテ（EHR）、検査結果、電子処方箋といった情報をもとに、診断と治療計画のデータを作成します。重要な点として、医療データは電子カルテや処方箋といった記録だけでなく、個人の健康・医療関連情報（PHI）に関連してクレジットカード番号、住所、電話番号といった個人を特定する情報が含まれることが挙げられます。

医療機関などのヘルスケアプロバイダーは、患者の評価、分析、診断、治療、およびアフターケアにおいて、適切な判断を下すためには患者の個人情報といった重要な情報に頼らざるを得ません。このため、EHRやPHIは、医療分野の組織にランサムウェア攻撃を仕掛けるサイバー犯罪者の格好の標的となっています。例えば、Akiraランサムウェアグループは2023年に多数の被害者を出し、最高400万ドルの身代金支払いを要求しました。

ランサムウェアの最も致命的な被害のひとつがデータ損失であり、これは医療サービスの品質、パフォーマンスに大きな影響を及ぼします。さらに、ハリケーン、地震、竜巻、吹雪などの自然災害によってもデータ損失は引き起こされ、運用上、評判上、財務上の損害につながります。ここ数年医療機関では不測の事態に対処し、データ損失のリスクを軽減し、質の高い治療を継続性するために、バックアップやディザスタリカバリなどのデータ保護ソリューションの導入を始めています。

この記事では、バックアップとリカバリの重要性を探り、包括的なバックアップ戦略を策定するためのヒントを提供し、医療業界におけるバックアップとリカバリのベストプラクティスを取り上げます。

現代の医療サービスにとって、ITインフラと患者情報を守るためには、バックアップとリカバリのソリューションは外すことはできません。データ バックアップの主な目的は、医療データの複製を確実に作成し、別の場所に保存することです。保存したデータは、侵害、自然災害、損失の際にも復元することができます。

医療データには、構造化タイプと非構造化タイプがあります。構造化されたデータは定量的なもので、個人情報、バイタルサイン、検査結果、投薬情報などを簡単にフォーマットすることができます。構造化データは一般的に、医療従事者が容易に解釈できるように定義された結果を示します。逆に、非構造化データは、定義されていない情報であり、その意味を解釈するためにはさらなる文脈の抽出や視覚化が必要です。非構造化データには、レントゲン写真、医療画像、動画、音声、臨床記録などが含まれます。

アメリカ国立生物工学情報センター（NCBI）によると、医療関係のデータの約80％が構造化されていないままとされています。このカテゴリのデータは、電子メールや文書で容易に共有されることを意図した形式のフォーマットであるため、監視、追跡、保護が困難です。非構造化データは整理や管理がますます困難になってくるため、バックアップソリューションはデータ保護に不可欠です。

医療関係の組織はどのくらいの頻度でバックアップを実行すべきでしょう？医療データのバックアップの頻度と範囲を決定する要因は、医療保険の相互運用性と説明責任に関する法律（HIPAA）などのコンプライアンス、個人を特定できる情報（PII）の重要性、および自動バックアップを実行するソリューションの機能です。

サイバー攻撃、データ侵害、自然災害などは、病院などの医療系施設に対して風評被害や財務上、法律上の影響を及ぼします。これらの影響は患者からの信頼の悪化や、関係者間の信頼を損なう一因となります。積極的なサイバーセキュリティ対策と並行して、組織の経営幹部とITセキュリティの専門家が協力して包括的なデータバックアップ戦略を策定する必要があります。

アクロニスでは、包括的なバックアップ戦略の作成は4つのステップに分けています。

アセットの特定と極めて重要なデータの優先順位付け

サイバーセキュリティではよく、「持っていることを知らないものは守れない」と言いますが、同じことが医療関係のデータでも言えます。データの重要性を評価することで、組織全体で不可欠な情報に優先順位を付け、ワークフローやプロセスにとって最も価値のあるデータが優先して守られるようにします。失われた場合に業務が停滞するようなデータは、重要なデータと考えられるため、頻繁なバックアップが必要となります。

適切なバックアップ方法で包括的な戦略を立てる

市場に出回っているバックアップストレージのオプションは、全て同じように作られているわけではありません。一般的なバックアップストレージ方法は3つあります。オンサイト、オフサイト、そしてハイブリッドです。この3つの伝統的なバックアップオプションを以下に紹介します。

オンサイトバックアップソリューション

ローカルストレージとも呼ばれるオンサイトバックアップは、医療関係業界において多くの役割を果たしています。オンサイトバックアップでは、データのコピーが物理的なハードドライブとメディアに保管されているため、バックアップされた内容が潜在的にリスクのあるシステムから分離されます。コピーはオンプレミスに残り、承認された個人が容易にアクセスできます。オンサイトバックアップの利点は、バックアップがオンプレミスで行われるため、データの悪用、盗難、改ざんに関連するリスクの一部を排除できることです。さらに、オンサイトデータを取得するためのインターネットアクセスは必要ではないため、すぐにリカバリができます。

ただし最大の落とし穴の一つは、オンサイトバックアップが自然災害に対して脆弱であるということです。現地のサーバーが火災やその他の大災害で破壊された場合、収集したすべてのデータを失う可能性があります。

オフサイトバックアップ

データ保護のタイプの１つ、オフサイトバックアップは、本番システムのコピーを本番システムとは別の地理的な場所に保存します。オフサイトデータバックアップでは、データはオフサイトのサーバーや他のメディアデバイスに保存され、その後、別の場所に移されるか、またはクラウドに移動します。

オフサイトバックアップの利点は、拡張が容易でコスト効果が高く、いつでも、どこからでもバックアップデータにアクセスできることです。基本的に、オンサイトのバックアップとは異なり、オフサイトのバックアップは自然災害が発生しても安全であるため、バックアップされたデータは台風、火災、洪水、または施設自体が災害に遭った場合でも影響を受けません。

ただし、オフサイトバックアップにはいくつかの欠点があります。クラウドバックアップでは、情報をコピーし保存するため、ネットワーク速度が低下する可能性があります。そのため日常業務を中断することがないよう、計画的にバックアップを行うことが推奨されます。またクラウドバックアップのもうひとつの欠点は、サードパーティのクラウドストレージプロバイダーを使用した場合に管理が出来なくなることです。組織のデータと患者のデータは組織の完全なコントロール下になくなるため、適切なクラウドストレージのベンダーを選択するための調査は、バックアップセキュリティを確保するには不可欠です。適切なオフサイトバックアップソリューションを使用することで、アンチランサムウェアソリューションがサイバー攻撃からデータを保護し、攻撃を受けた場合でも、データはランサムウェア被害にあう前の状態に復元できます。

組織の物理的、仮想的、クラウド、モバイル環境全体でのデータ保護を探求するために、Acronis Cyber Protect Backup and Recoveryをご検討ください。

ハイブリッドバックアップソリューション

ハイブリッドバックアップソリューションは、オンサイトとオフサイトのバックアップ戦略の利点を組み合わせて、さらにレジリエンスを提供します。2つのバックアップ方法が連携して機能し、オンサイトバックアップによりデータへの迅速なアクセスを提供し、オフサイトバックアップにより強化されたサイバープロテクションとディザスタリカバリを可能にします。それにより、緊急時にバックアップリポジトリのセキュリティを妨げることなく、復元された重要なデータに迅速にアクセスできるようになります。

規制へのコンプライアンス対応

規制へのコンプライアンスを満たすことは、違反による多額の罰金を避け、最も基本的なデータプロテクションを確保する上で重要です。HIPAA、イギリスの国民保健サービス（NHS）、EUの一般データ保護規則（GDPR）といった規制は、患者の個人情報のプライバシーとセキュリティを維持するためのセキュリティ対策とその実践を義務付けています。これらの規制を満たしていない場合、法的措置、罰金、さらには風評被害につながる場合があります。

ディザスタリカバリソリューションとの連携を確実に

ビジネス継続ディザスタリカバリ（BCDR）は、もはやセキュリティにおける独立した領域とは考えられていません。つまりバックアップとBCDRが統合され、医療系施設に融合されているのです。IT管理者や経営者は、ビジネス継続ソリューションの価値を認識し、サイバーセキュリティ、バックアップ、ディザスタリカバリ戦略を理解する必要があります。これらを連携させることで、患者に対する良好な結果と質の高いケアを提供できます。また、目標復旧時間（RTO）と目標復旧時点（RPO）をバックアップと復元に連携することで、運用への影響を最小限に抑え、比類なき連続性を促進するヘルスケア組織に合わせた復元努力を優先するのに役立ちます。

製品とDRセンターを別々の場所に配置する

ディザスタリカバリ計画が真に効力を発揮するには、バックアップされたデータをプライマリサイト、つまり医療関連施設から離れた場所に保管する必要があります。バックアップを保管するデータセンターは、施設から150マイル以上離れた場所にあることが推奨されます。これにより、停電や嵐といった災害の影響を最小化することで医療関連データが保護できます。

DR戦略をテストし、調整する

緊急事態の際には、復元プロセス、手順、システム、テクノロジが確実に機能することを確認するため、ディザスタリカバリ計画の有効性を評価するための定期的なテストを実施することが重要です。ディザスタリカバリはコラボレーションが非常に重要であるため、特定のタスクを実行する専門家によるチームが関与します。シミュレーション済みの復元演習をスタッフが指導するためのチェックリストを作成することにより、復元手順の欠陥を発見し、組織の準備レベルを確認し、ITチームに復元の弱点を調整する機会を提供します。

DR計画に従い、将来を見据えてバックアップと復元に取り組む

会社全体でデータ保護を最優先にする取り組みを持つことは、スタッフの教育の重要性を強調する有益なアプローチです。これは、何らかの理由で特定のディザスタリカバリ業務を担当する担当者が不在となった場合でも、医療関連組織の危機に対する備えを強化するものです。緊急事態時にスタッフが介入できれば、組織はディザスタリカバリの失敗につながる人的要因を軽減することができます。

質の高い患者データは、医療関連組織の全体的なパフォーマンス、治療レベル、費用対効果（ROI）を形成する上で重要な役割を果たします。患者データは、臨床医や医療専門家が診断を下し、個人に合った治療計画を立てるために必要な重要情報を提供します。医療提供者は、機密性、安全性、患者との信頼関係を強化するためのデータのプライバシー、保護、完全性を優先しなければなりません。データの完全性を維持することも、医療記録の正確性と信頼性には不可欠です。実際これらの質を保つことが直接的に患者により良い治療を施すことに結びつきます。

キーポイント

効果的なデータのバックアップとリカバリは、医療関連分野では依然として不可欠な要素です。データは患者ケアのあらゆる場面で相互に関連しているため、この点でベストプラクティスを遵守することの重要性は言い尽くせません。不運な状況において、バックアップされたデータを復元する能力は、ヘルスケア専門家にとって、特に医療緊急事態において、状況を一変させるものです。バックアップおよびリカバリソリューションは、ヘルスケア機関のデータセキュリティへの取り組みを強化し、医療従事者に力を与え、患者の予後を向上させます。