特に厳しい管理が求められる医療機関での情報管理(1)
個人情報を管理するための法律で注目を集めたものの代表的なものは、2003年7月に施行されたカリフォルニア法、そして2003年4月に発効された“医療保険の携行性と責任に関する法律、HIPAA”だ。カリフォルニア法はカリフォルニア州法で、個人情報盗難の被害者に通知を義務
特集
特集
去る2月、米国の信用調査企業ChoicePointから14万5000件の個人情報が漏洩し、米国社会で情報管理について規制強化が求める声が上がっている。今回はHIPAAで強化が求められた医療機関でのセキュリティの問題を探ってみよう。
●重要データの入ったコンピュータ盗難
2004年12月、デルタ血液銀行が献血者に対し、情報の入ったコンピュータが盗難に遭い、個人情報を不正に利用される恐れがあると通知した。
事件は2004年12月10日、献血車から2台のラップトップ・コンピュータが盗難されたもので、同日献血を行った市民が登録した内容が保存されていた。氏名、住所、生年月日、社会保険番号などが保存されていたという。
事件後、デルタのジョン・オニール人事部長は、ラップトップはセキュリティ2段構えになっていて、盗難犯が容易には情報にアクセスできないと発表している。その1つは、マイクロソフトのウィンドウズを起動する際のパスワード。2段階目が、データベースにアクセスするには幾つかのステップを踏む必要があったというものだ。そのため、「ハッカーなどのコンピュータの専門家ならアクセスできるが、一般市民には簡単にはプログラムを起動させることはできないだろう」と危険性が低いことをアピールする一方で、「但し、可能性は皆無とは言えないため、通知を行った」
同時に、社会保険番号の使用について、大学などの情報漏洩にもからみ、大きく取りざたされている中、今後は使用しないと発表。さらにコンピュータ他、データと関係するものの使用規定を改めて定め、セキュリティ強化を図った。
コンピュータ盗難による情報漏洩だが、今年2月はじめにも、アリゾナ州のカールT. ヘイデン復員軍人病院から9台のコンピュータが盗難されている。中には3688名の復員兵の氏名や社会保険番号などのデータが入っていたとして、該当者に通知を行い、同時に個人情報盗難の恐れがあるため、クレジットカード会社に連絡をすることを勧めた。
デルタやアリゾナ州復員軍人病院の事件では、事件から3ヵ月経過した現在も、個人情報が不正に使用された形跡はない。警察なども、機械を狙ったものとみている。
【執筆:バンクーバー新報 西川桂子】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》
