米政府監査院(GAO)は現地時間2014年9月16日、米医療保険改革法(通称「オバマケア」)に基づいて国民の保険加入手続きを支援するサイト「HealthCare.gov」が、セキュリティおよびプライバシーにおいて依然脆弱であるとの調査結果を明らかにした。情報管理に関するプロセスとセキュリティ管理に関する技術導入の両方に問題があると指摘している。
HealthCare.govは2013年10月1日に開設され、米保健福祉省(HHS)のCenter for Medicare and Medicaid Services(CMS)が中心となって管理している。
GAOによると、Healthcare.govは導入当初からセキュリティプランやプライバシー関連の文書化が不完全だったほか、十分なセキュリティテストが行われず、障害発生時の代替サイトも設置されていなかった。
また、同サイトのマーケットプレイス「Federally Facilitated Marketplace(FFM)」について、CMSは強力なパスワード使用の要請、インターネット接続の適切な制限、パッチの継続的な適用、管理ネットワークの厳密な設定などを怠っていたという。
CMSは数々の対策を講じてきたものの、すべての問題を解決するに至っていない。これらの不備が完全に解消されなければ、不正なアクセス、情報の漏えいや改ざん、サービス停止といった可能性は増し、引き続きリスクは残ると、GAOは強い懸念を示している。
GAOは、Healthcare.gov関連のシステムと情報を保護するためのセキュリティおよびプライバシー管理の勧告を6項目作成したが、HHSはそのうち3項目に異議を唱えているという。
HealthCare.govは立ち上げ当初から不具合が発生し(関連記事:オバマケアのサイト障害、GoogleやOracleなどが修復の応援に)、復旧までに長期間を要した。また2週間前にはHHSが、サイバー攻撃によって今夏のあいだ同サイトにマルウエアが仕込まれていたことを明らかにしている。GAOは今回の調査結果を今週、米国議会に提出する予定(米Wall Street Journalの報道)。
[発表資料へ]
