Netskope Japan株式会社
医療データの多くが個人の生成AIやクラウドサービスに流出
セキュリティとネットワーク業界をけん引するNetskopeの調査研究部門であり、クラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、本日、医療業界に特化した最新の脅威レポートを公開しました。この調査によると、医療機関の従業員が機密性の高いデータを許可されていないウェブサイトやクラウドサービスにアップロードしようとする事例が定期的に発生していることが明らかになりました。医療従事者の間で最もよく使用されているChatGPTやGoogle Geminiなどの生成AIアプリケーションは、職場での使用が日常化するにつれ、こうしたデータポリシー違反の原因となるケースが増加しています。
主な調査結果:
- 過去12カ月間に医療機関で発生したデータポリシー違反の81%は、規制対象の医療データに関するものでした。これは地域、国内、または国際的な規制によって保護対象となるデータであり、機密性の高い医療および臨床情報が含まれます。パスワードやキー、ソースコード、知的財産も漏洩の対象となっており(合計19%)、これらの違反の多くは、従業員が機密データを個人のMicrosoft OneDriveやGoogle Driveアカウントに無断でアップロードすることによって発生しています。
- 生成AIは医療分野にも急速に普及しており、現在88%の医療機関が生成AIアプリケーションを導入しています。医療従事者による生成AIの利用に関連して、データポリシー違反が多数発生しており、その内訳は規制対象データが44%、ソースコードが29%、知的財産が25%、パスワードとキーが2%となっています。さらに、医療従事者がアップロードするデータを元にAIモデルのトレーニング・学習に活用するアプリケーションや、業務上で使用する生成AI機能を組み込んだアプリケーションからもデータ漏洩のリスクが生じる可能性があり、これらはそれぞれ医療機関の96%と98%で使用されています。
- 医療業界の生成AIユーザーの3人に2人以上が、職場で個人の生成AIアカウントに機密データを送信しています。この行動により、セキュリティチームは従業員間の生成AI関連活動の可視性が低下し、適切なデータ保護の安全策がなければ、データ漏洩を検出および防止する能力が損なわれています。
Netskope Threat Labsのクラウド脅威研究者であるGianpietro Cutoloは次のように述べています。「生成AIアプリケーションは革新的な解決策を提供する一方で、データ漏洩の新たな経路ともなり得ます。特に医療現場のような緊迫した環境では、従業員や医療従事者がスピードと柔軟性を持って対応する必要があり、医療機関は生成AIの活用メリットを享受しつつも、適切なセキュリティ対策とデータ保護の仕組みを構築し、リスクを最小限に抑える必要があります。」
そのために、以下の施策が考えられます:
- 組織が承認した生成AIアプリケーションを従業員に提供することで、組織が承認、監視、保護する環境内で生成AI利用を一元管理し、個人アカウントの使用や「シャドーAI」(組織の管理外で使用される生成AIサービス)の利用を抑制します。医療従事者による個人の生成AIアカウントの使用は依然として高いものの、組織公認の生成AIソリューションへの移行を進めるにつれて、過去1年間で87%から71%に減少しています。
- 厳格なデータ損失防止(DLP)ポリシーを導入することで、生成AIアプリケーションへのアクセスを監視・制御し、共有可能なデータの種類を定義、従業員がリスクの高い行動を試みた場合にも、追加の安全策として機能します。生成AIに対してDLPポリシーを導入している医療機関の割合は、過去1年間で31%から54%に増加しています。
- リアルタイムユーザーコーチングを導入することで、従業員がリスクの高い行動を取ろうとした場合に警告を表示できるようになります。例えば、医療従事者が患者名を含むファイルをChatGPTにアップロードしようとした場合、プロンプトが表示され、続行するかどうかをユーザーに確認します。別の調査によると、全業界の従業員の大多数(73%)が、このような警告メッセージが表示された場合、操作を中断するという結果が出ています。
Gianpietro Cutoloは「医療業界では、生成AIアプリの急速な普及とクラウドサービスの利用増加により、規制対象の医療データを保護するのが喫緊の課題となっています。生成AIが診療業務や運営プロセスにより深く組み込まれるにつれて、組織はDLP対策やアプリケーション使用制限などの対策を急ピッチで整備してリスク軽減を図っています。医療機関は対応を進めていますが、この変化し続ける環境においてデータを確実に保護するためには、組織が承認した安全なソリューションへの継続的な注力が不可欠です」 と述べています。
Netskopeは世界中の何百万人ものユーザーをサイバー攻撃やデータ漏洩などの脅威から保護しています。このレポートに記載されている情報は、Netskope Oneプラットフォームを通じて収集した匿名化された利用データに基づいており、これらのデータは事前に同意を得たNetskopeの医療機関のお客様から提供されたものです。
レポートの全文については、こちらをご覧ください。
Netskope Threat Labsについて
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行っています。クラウドフィッシング、詐欺、マルウェア配信、コマンド&コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。
Netskopeについて
Netskopeは、最新のセキュリティとネットワーク技術で業界をリードしています。人、デバイス、データがどこにあっても、最適化されたアクセスとリアルタイムのコンテキストベースのセキュリティを提供し、セキュリティチームとネットワークチームの両方のニーズに応えることができます。Fortune 100企業の30社以上を含む数千社のお客様が、Netskope Oneプラットフォーム、ゼロトラストエンジン、そして強力なNewEdgeネットワークを信頼し活用しています。これらのソリューションにより、あらゆるクラウド、AI, SaaS、ウェブ、プライベートアプリケーションの利用状況を可視化し、セキュリティリスクの低減とネットワーク性能の向上を実現しています。
詳しくは、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp
