電子カルテは 2025 年に導入されるが、重大なセキュリティ上の問題がある

Sakiko

必要に応じて、電子患者ファイルに反対することができます。 (Zerbor - Adob​​e Stock)

「すべての人のための」電子患者記録 (ePA) が登場します。 ePA は、健康と病歴に関するすべての重要な情報が保存される一種のデジタル フォルダーです。

法定の健康保険に加入している人に対しては、2025 年 1 月 15 日に展開が開始され、異議が提出されない限り、健康保険会社は自動的に被保険者に ePA を提供します。

しかし、セキュリティ研究者らは、2020 年に導入された際に物議を醸した重大なセキュリティ上のギャップを指摘しています。

多くのセキュリティ問題が依然として存在します

2 人のセキュリティ研究者 Bianca Kastl と Martin Tschirsich は、(場合によっては)ほとんど労力をかけずに、サードパーティがどのようにして ePA にアクセスできるかを実証します。中心となるのは健康カードの発行だ。講義全文はここでご覧いただけます。

追体験: 「これまでにハッキングされたことはありません」: 電子患者ファイルが登場します - 今すぐすべての人に!

背景について:ePA にアクセスするには、電子 ID カードと PIN、または対応する PIN が記載されたヘルスカードのいずれかが必要です。被保険者は、健康保険会社から電子健康カード (eGK) の PIN を受け取ります。

批判の焦点は再び、発行プロセス、申請ポータル、医師の診療におけるこれらのカードの取り扱いにおける弱点にある。

  • 2 人のセキュリティ研究者は、他人の名前で健康カードを申請することがいかに迅速かつ比較的簡単であるかを説明します (研究者によると約 20 分)。
  • どうやってheise.de書き込みに加えて、チップ カードには、ePA への安全なアクセスを保証するための暗号化 ID も保存されます。ただし、これらはカードの真正性を認証するためには使用されません。
  • 研究者らはまた、脆弱性を特に悪用することで、医療行為のためのいわゆるアクセス トークンを生成できることも発見しました。これにより、医療カードを物理的に操作することなく、被保険者の健康記録を閲覧できるようになりました。

はるかに複雑ですが、それでも可能性があるのは、システム、ひいてはすべての ePA への包括的なアクセスを取得するために、ePA インフラストラクチャの ID 検証プロセスにおけるセキュリティ ギャップを悪用することです。研究者らは、必要な期間は約 1 か月であると推定しています。

2 人の研究者によると、これらの深刻なセキュリティ上のギャップをすべて考慮すると、7,000 万件を超える患者ファイルへのアクセスが可能になるということです。

「必要な信頼を規定することはできない」

また公衆衛生イノベーションネットワーク被保険者の信頼を得るには、ePA のセキュリティがすべての人に保証されなければならない、と著者は書いています。研究者らによると、ePAの恩恵を受ける可能性がある人々は、リスクを考慮してePAを利用しない可能性があるという。

したがって、専門家は次の 3 つの中心的な要求を策定します。

  • セキュリティリスクの独立した信頼性の高い評価
  • 影響を受ける人々へのリスクの透明性の伝達
  • ライフサイクル全体にわたるオープンな開発プロセス

その間、それはゲマティックePAインフラの運営者である、が声を上げた。これはセキュリティ上の欠陥を認めていますが、「現実に実用化される可能性は非常に低い」と述べています。少なくとも彼らは責任ある治安当局とのやりとりを確認している。

ePAは異議を唱えることができる

冒頭で述べたように、法定健康保険に加入しているすべての人は、これに反対しない限り、2025 年に個人用電子患者ファイルを自動的に受け取ることになります。

ePA の使用は基本的に任意です。異議申し立てに関する詳細情報は、各健康保険会社から入手できます。

健康保険会社はオンライン異議申し立てフォームを提供しており、保険の詳細を記入する必要があります。