海外における個人情報流出事件とその対応第210回アウトソーシングのセキュリティとインドの岐路 (1)続発するアウトソーシングにかかわる事件

　インドのBPO（ビジネス・プロセス・アウトソーシング）の会社の取締役が、患者の医療歴を盗んだとして逮捕されたと、11月11日付の『India Daily』が伝えている。被害に遭ったのは英国の会社だ。

　逮捕されたのはプネーにあるPro BPSの取締役、Vikas Dhairyashil Bansode（29歳）で、11月10日のことだ。NASSCOMがプネーのサイバー犯罪部に告訴している。NASSCOMは、National Association of Software and Services Companies の略語で、インドの非営利団体、ソフトウエア・サービス協会のことだ。1988年にインドのソフトウェア産業とBPO産業振興のために設立された。

　他にもKunal Abhay Gargatti とJayesh Bhagchandaniの2人が容疑者として挙がっている。Rajendra Dahale本部長補佐(プネー警察サイバー犯罪部) は、『Times of India』に対して「Bansodeは、プネー郊外にあるBPOの会社で所長の地位に就いている」と語っている。漏えいしたのは、英国の企業、Scanning and Data Solutionsのデータだ。患者の医療履歴処理をBansodeの会社に委託していたScanning and Data SolutionsのMichael Benny社長は、Bansodeがデータを販売しているのではないかと疑っていたと、Dahale本部長補佐はいう。「Bennyから、捜査を求めるファクスを受け取った」事件については、英国でも12日付の『Daily Mail』が伝えている。患者の病状、自宅住所、生年月日の入った数百ものファイルが不正に売買されたが、データは１件、4ポンド（588円）という小額で取引されていた。

　BPO、すなわちBusiness Process Outsourcing=ビジネス・プロセス・アウトソーシングとは、情報システムの運用や保守業務に付随するデータ入力業務、帳票の印刷・顧客発送業務などを委託するアウトソーシングの形態のことだ。毎年、英国から多数の医療記録がコンピュータ処理のためインドに送られている。

　Bansodeはアウトソーシングで入手したファイルを、ブローカーに販売していた。そして、このブローカーがインターネットのチャットルームなどで、マーケティングの会社や犯罪者と情報を取引していた。警察では、Bansodeのノートパソコンを押収して、Eメールの記録を調べ、医療データの入ったファイルを数社に送信していることを確認している。

　事件の結果、NHSと民間の病院が海外に送る医療記録のセキュリティに関して、疑問の声が上がっている。カルテなどの医療記録が、電子ファイルとして保存されることで大量の情報を効率よく利用できる一方で、新しいセキュリティの問題が生まれている。NHSとは、National Health Serviceの略で英国の国営医療サービス事業のことだ。患者の医療ニーズに対して公平なサービスを提供することを目的に1948年に設立され、現在も運営されている。

●テレビ取材がきっかけとなった盗難犯検挙

　Bansodeの事件を報じた『Daily Mail』は、10月に放映された英国テレビ局ITVによる、ドキュメンタリー番組について紹介している。番組では健康製品のプロモーション用として医療記録を購入したいというマーケティング担当者を装い、逮捕されたBansodeの共犯者とされる2人に接触。英国の病院がインドでデータ処理するようアウトソーシングしている極秘データを売るよう依頼した。

　ITVの番組制作者は100件以上のファイルを入手している。購入時に、これらのファイルは、医療記録のコンピュータ処理を行う、インドの"トランスクリプション"センターからのものだと説明を受けたという。さらに、求めに応じて数十万件のデータを提供することも可能だということだった。

　Bansodeの共犯者、Bhagchandaniは、ITVのスタッフに対して、「17のチームもしくはチームマネージャーがいる」「フリーランスで働くフロアマネージャーが、データ取り出し（つまり不正取得、盗難）を行っている」と話している。さらに別の人物は、「今すぐ渡すファイルが3万ある」と持ち掛けた。

　結局、ITVは116件のファイルを購入して、記事の時点では100件のファイルについては、本物のデータが入っていたことを確認している。民間病院の患者の情報だったという。

　医療データの電子化は世界で進んでいて、紙面での記録・データを外部の企業に依頼して電子ファイル化する病院は英国でも多数ある。業務の依頼を受けた会社はさらに、英国、そしてEU外の安い経費で引き受けてくれる会社に送る。その結果、極秘情報が漏えいするという事態が起こっている。

　医療データについては、米国では、医療保険の携行性と責任に関する法律（HIPAA法）で、患者の医療情報のプライバシー保護を要件としている。英国でも同様にデータ保護法(Data Protection Act)で、データセキュリティが保証されていない限り、EU外部にこのような情報を送るのは違法だと定めている。

　『Daily Mail』では、今回の漏えいではLondon Clinicの患者が多かったことを確認。London Clinicにアウトソーシングを行っているか質問している。そして、紙面の記録をコンピュータ上のデータ化するDGL Information Technologies UKを医師に紹介していたことが分かった。さらにDGL Information Technologies UKが、Scanning and Data Solutionsの利用を勧め、Scanning and Data Solutionsが業務をインドへアウトソーシングしていた。

　Scanning and Data Solutionsによると、書類はセキュアなインターネット上のWebサイトへアップロードされていたという。処理に際して、インドの会社の従業員と機密保持契約を交わし、さらにデータへのアクセスにはパスワードが必要だった。Scanning and Data Solutionsは過去2年間、大量のデータをインドに送付していたが、事件の結果、インドへのアウトソーシングを中止した。

●銀行コールセンターの従業員がデータ盗難

　アウトソーシングにかかわる事件は医療情報関連だけではない。今年1月にも、プネー警察がインドで最大の民間銀行の一つICICI BANKのコールセンターの従業員がデータ盗難で逮捕されている。

　1月24日の『Express India』によると、犯人はデビットカードの情報を盗み、ムンバイに住む犯罪者に販売していた。容疑者はVarun Shankar Mishra、Amit Dashrath Singh、Amit Suresh Singhだ。このうち、MishraがICICIのアウトソーシング先、コールセンターで勤務。被害者の個人情報およびデビットカードの詳細を不正に獲得していた。

　また3人の検挙に先立ちJayesh Bhanushali、Trimurti Sunivasも逮捕されている。2人は他人名義のデビットカードを使って現金を引き出していた。

　事件では、犯行グループの1人が、被害者を装ってICICIのカスタマーケアセンターに電話をしている。犯人たちは、あらかじめ…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec