海外における個人情報流出事件とその対応 第198回 世界的に有名な病院の職員が患者情報盗難 (2)インサイダーの脅威を減らすための7つの方法
●2月にもあった、職員が関与するデータ不正取得報道
国際
海外情報
さて、今回の漏えい事件へのかかわりが疑われている職員の名前は公表されていないが、事態を最初に報じたDatabreaches.netは、1月に起訴された、やはりジョンズ・ホプキンス病院の職員、Michelle Johnsonについて書いていたようだ。ただし、その後、"2月にメディアが報じた病院職員の逮捕は、今回の事件とは無関係"とのコメントを病院のスポークスパーソンから得たとして、Databreaches.netでは記事の修正を行った。
では、Michelle Johnsonのケースとはどのようなものだったのだろう。1月の起訴についてはChris Landersが『Baltimore City Paper』で報じている。
2004年、Deborah Wallさんという女性がジョンズ・ホプキンス病院で腎臓の治療を受けていた。Deborahさんの夫は陸軍に所属していて、アフガニスタンで駐留していたが、Deborahさんの病状が悪化して腎臓移植を受けることになったために帰国した。
Deborahが退院したとき、Wall夫妻は、覚えのない住宅購入に関するChase銀行からの手紙を見つけて驚く。夫妻の通報で複数の警察機関が3年間捜査を行い、ジョンズ・ホプキンス病院に勤務していたMichelle Johnsonと、ボルチモア在住のもう1名の女性の逮捕に至った。
2人は共謀して患者の情報を盗み出し、クレジットカードのアカウントを不正に開設していた。起訴状によると、被害額は50万ドルにものぼる。病院からの情報漏えいは、患者の個人情報であることから、長期入院中の場合もあり、発覚が遅れる危険が指摘されている。Deborahさんのケースでは、夫であるWall氏が陸軍所属で海外にいたことで、さらに気付くのが遅れた可能性もある。
さて、腎臓提供者である、州外に住む友人も、同様の被害に遭っていることから、Deborah さんはジョンズ・ホプキンス病院がかかわっていることはまず間違いないと考えていた。Chaseのカードは木製フローリング購入に使われていた。Deborahさんは、事件の捜査が円滑に進まなかった理由として、夫妻の住所、フローリングを設置した住宅、フローリングを購入した店が、別の警察管轄であったためだと話している。
夫妻は請求書から、夫妻の名義でカードを使用して購入したフローリングを設置した、Shanell Bowserという女性が住んでいた住宅を確認。その住宅のそばから警察に通報した。Bowserは個人情報盗難で逮捕されて、2006年4月に有罪判決を受けた。
一方、Wall夫妻の証言から3年間にわたる捜査が始まり、2009年になって病院の患者サービス部門で事務をしていたMichelle Johnsonが起訴されることとなった。JohnsonはBowserと同じ高校の出身だ。
起訴状によると、2人はWallの情報で複数のクレジットカードを作成。合計の限度額は50万ドルを超えていた。2人が購入した商品の料金は、ハードウッドのフローリング材、コンピュータ、テレビ、高級下着などで、約16万9,390ドル。この金額には、携帯電話や公共料金の請求書の支払いも含まれている。また、被害者の名前は公表されていないが、Deborah Wallさん以外に4人いるようだ。
●難しい内部関係者による事件防止
ジョンズ・ホプキンス病院では半年に2度も、職員が関与した患者の個人情報盗難でメディアに取り上げられたことになる。ジョンズ・ホプキンス病院は『U. S. News & World Report』誌で18年連続で、全米最高の病院との評価を受けているが、情報保護では残念ながら最高とは言えないようだ。
同じ病院で職員による情報漏えいが続いたことで、改めて内部関係者の危険に注目が集まった。ITセキュリティの企業、Blue Lanceの4月7日付ブログで、"インサイダーの脅威を減らすための7つの方法"という内容のものがある。ブログでは次の方法が挙げられている。
1.雇用前のスクリーニング
身元調査により、雇用段階で内部関係者による盗難の可能性を除くのに役立つ。最近のCERTの調査によると…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
