海外における個人情報流出事件とその対応 第186回 課題を抱える医療機関での情報保護 (1)高等教育機関で相次ぐ個人情報の漏えい | ScanNetSecurity
2024.05.08(水)

海外における個人情報流出事件とその対応 第186回 課題を抱える医療機関での情報保護 (1)高等教育機関で相次ぐ個人情報の漏えい

 11月12日、フロリダ大学が、歯学部のコンピュータサーバが不正侵入を受け、個人情報が漏えいしたと発表した。被害を受けたとして通知を受けたのは約33万人で、現在および過去に歯科治療を受けた患者だ。

製品・サービス・業界動向 業界動向
facebookLINE
 11月12日、フロリダ大学が、歯学部のコンピュータサーバが不正侵入を受け、個人情報が漏えいしたと発表した。被害を受けたとして通知を受けたのは約33万人で、現在および過去に歯科治療を受けた患者だ。

 侵入が分かったのは10月3日。ITスタッフがサーバのアップグレードを行っていたところ、マルウェアがリモートでインストールされていることを判明したという。大学では直ちに、マルウェアがインストールされていたサーバを、インターネットから外した。

 サーバに保管されていて、不正アクセスを受けた可能性がある情報は、患者の氏名、住所、生年月日、社会保険番号、さらに一部には、受けた歯科治療に関するものや、1990年に利用した患者の古いデータもあった。データは残念ながら暗号化がされていなかった。

 10月3日にマルウェアが見つかってから通知まで、1カ月以上かかったことについて、大学のITスタッフと外部のコンサルタントによって、被害状況の確認が行われていたためとしている。また捜査のために発表を待つよう、警察からも指示があったようだ。フロリダ州では個人情報漏えい事件が起こった場合、発見から45日以内に通知することが定められており、規定期間内には連絡していることになる。

 現在のところ攻撃側の意図は分かっていない。大学では、被害者への通知の中で、データが悪用される可能性も指摘して、警戒を呼びかけている。また、通知を行った33万人以外にも約8,000人は現在の住所が分からず、連絡が取れていない。

 事件を受けて、「ほかの大きな教育機関と同じように、ターゲットとなったのは不運だった」とテレサ・ドラン歯学部学長はコメントを行っている。その上で、「引き続きセキュリティを強化し、患者の信頼を維持するために努力していく」と決意を明らかにしている。

 フロリダ大学では近年、ファイアウォールや侵入探知システムを強化、極秘情報を含むようなデータは暗号化を行ってきた。また、脅威の特定とサーバ保護のために警戒を強めてきた。事件はこれらの努力にもかかわらず起こったという。

 大学側は事件を非常に重視し、状況を確認してすぐに捜査を開始した。一方で個人情報保護のための予防措置を新たに加えている。患者には、大学側でまとめた措置を採るように求めると同時に、事件が不便を引き起こしていることについて、遺憾の意を表した。

 事件はFBIと大学の警察が捜査中だ。大学側はキャンパス内のコンピュータのスクリーニングを行い、そこに保管されている情報保護のための措置が採られているよう確認して、事件の拡大を防いでいる。

●データ保護規定にかかわらず起こる漏えい

 大学などの高等教育機関で、個人情報漏えい事件が多数起こっていることは、繰り返し指摘されてきている事実だ。今回の事件もフロリダ大学の歯学部が攻撃を受けたということで、大学からの漏えいと考えることができる。今年に入ってからも、ハッカーに攻撃されたジョージア大学、ポータブルのハードドライブを紛失したAkron大学やテネシー工業大学、スタッフからの攻撃を受けたBaylor大学をはじめ、さまざまな事件が報告されている。

 しかし、歯学部の患者が被害を受けていることから、高等教育機関への攻撃同様に、問題視されている医療関連データの漏えい事件としても捉えることができるだろう。米国では1966年、Health Insurance Portability and Accountability Act(医療保険の相互運用性と説明責任に関する法律、HIPAA)を制定。2003年にHIPAAプライバシーガイドラインの最終版が発表され、医療情報を扱う機関は準拠するよう求められている。ほかの産業の企業や組織と比べ、さらに情報の取り扱いには注意を払っているはずだ。

 それにもかかわらず、実際はデータが危険に晒されているのが実情だ。Kroll Fraud Solutionsが委託を受けて作成した患者データのセキュリティに関する、2008年の『HIMSS分析報告書』でも、病院やヘルスケア施設で集められ、保管されているデータは、犯罪者の主要ターゲットとなっているとしている。Kroll Fraud Solutionsはセキュリティ・サービスとリスク緩和のコンサルティングの会社だ。

 医療機関が攻撃を受けやすいのは、データが"不正を行うための内容"が豊富で、かつ"利益性が高い"ためだという。大学などの教育機関では、社会保険番号を使用しなくなってきているが、病院では今も使っている。"黄金のコンビ"と形容される、氏名、社会保険番号、生年月日の組み合わせがあれば、簡単に他人名義でクレジットカードを作成したりすることができる。

 加えて、郵便物送付住所、保険の情報、治療歴・内容、クレジットカードや金融機関の情報までと豊富な個人情報が医療機関で集められている。また、人間の生と死の現場でもある病院が所有する出生、死亡記録は、個人情報盗難犯にとって、利用しやすい情報だ。同様に高齢者や子どもの記録がある。これらのデータが悪用された場合、被害者が気付くのが遅れがちだし、予防措置を講じていないことが多いという利点が犯罪者にある。だからこそ、情報の機密保護が強く求められる。

●データ保護の基本遵守とスタッフ教育が鍵

 さて、このような状況の下、医療機関からの情報漏えい事件防止のためにも、まずは問題点などを把握しようというのが『HIMSS分析報告書』での調査だ。Kroll Fraud Solutionsでは、医療機関のIT問題を扱う取締役や役員、主席セキュリティ役員、ヘルス情報マネージャーなどに電話でアンケートを行った。その際、患者のデータに関するセキュリティに詳しい役員、スタッフのみを対象としている。

 調査に参加した医療施設のスタッフが…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  5. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  8. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

  9. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

  10. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP