海外における個人情報流出事件とその対応第226回 米医療機関、患者情報のセキュリティ確保に苦心(2)注意したい、有名人の医療情報のセキュリティ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.21(水)

海外における個人情報流出事件とその対応第226回 米医療機関、患者情報のセキュリティ確保に苦心(2)注意したい、有名人の医療情報のセキュリティ

●カリフォルニアで5カ所の病院が処分 6月10日、カリフォルニア州公衆衛生局では5カ所の病院に対して、極秘の患者医療情報への不正アクセスを防ぐことができなかったとして、罰金処分とすることを発表した。罰金額は合計で67万5000ドルだ。

国際 海外情報
●カリフォルニアで5カ所の病院が処分
6月10日、カリフォルニア州公衆衛生局では5カ所の病院に対して、極秘の患者医療情報への不正アクセスを防ぐことができなかったとして、罰金処分とすることを発表した。罰金額は合計で67万5000ドルだ。

ほかに処分があったのは、まずは北カリフォルニアのEnloe Medical Center。7人の職員が1人の患者の医療情報に権限なしでアクセスしているとして、13万ドルの罰金が課せられた。

Enloe Medical Centerが保護された医療記録への不正アクセスを確認して、公衆衛生局に報告したのは、2009年8月17日だ。その10日後、集金業者による怪しい出入りにスタッフの一人が気付く。そして集金業者のマネージャーに確認して、この業者が不正アクセスしていたことが明らかになった。残りの7人についてはその後の調査で分かったものだ。

また、同じくカリフォルニア州北部のRideout Memorial Hospitalでは、警備員17人が、患者33 人のコンピュータ内の医療情報に、権限なし、そして職務に関係なく、アクセスしていた。警備員が閲覧可能なのは、患者名と部屋番号だけであるべきだったが、アクセス管理が十分でなかったため、情報保護が必要な電子カルテまで見ることができるようになっていた。その後の調査で、情報保護違反を行った警備員は、HIPAAに基づきトレーニングを受けていたことが分かっている。しかし、不正にアクセスしているという感覚はなかったようだ。Rideout Memorial Hospitalへの罰金は10万ドルだ。

サンフランシスコとロサンゼルスの間、ベーカーズフィールドのSan Joaquin Community Hospitalでも、2人の職員が3人の患者の情報を漏えいしたことが分かった。これは病院で治療を行った別の患者が、病院に対して、訴訟を起こしたところ、その書類の中に関係のない3人の患者の検査結果が入っていたというもので、職員が故意に漏えいしたのではなく、いわゆるケアレスミス、不注意だ。事態が明らかになってから、病院ではミスを避けるためにも事務手続きを改善した。罰金は2万5000ドルだ。

今回処分を受けた医療機関は、ハッカーによるシステムの攻撃などではなく、どちらかというと、患者の医療記録という、重要な個人情報を扱う職員の基本的な姿勢が不十分であったためだ。HIPPA施行に伴い、データ保護のための様々な対策を取っているものの、まだまだ問題が多いことが、浮き彫りになっている。カリフォルニア州公衆衛生局では、今後、同様の事件が起こらないように、各医療機関に対して、10営業日以内に是正計画を実施することを求めている。

●注意したい、有名人の医療情報のセキュリティ
一連のセキュリティ違反で、最も注目を集めたのは、ロサンゼルスのRonald Reagan UCLA Medical Centerのケースだ。1人の患者の医療情報に、4人の職員が不正にアクセスしたとして9万5000ドルの罰金となっている。

Ronald Reagan UCLA Medical Centerは米国の病院の中でも、トップ3の1つに挙げられる、優れた病院だ。US News & World Reportでは西海岸では最高の病院としている。

公衆衛生局では、患者名を明らかにしていなかったが、権威ある病院で、職員が不正にアクセスをした患者について、幾つかのメディアが報じていて、マイケル・ジャクソンの情報であったことが分かっている。

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. 「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

    「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

  2. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  3. Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

    Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

  4. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  5. シンガポール子会社に不正アクセス、顧客情報が流出(みずほ銀行)

    シンガポール子会社に不正アクセス、顧客情報が流出(みずほ銀行)

  6. メール誤送信、添付ファイルサイズ制限で「安心一斉送信システム」使用できず(大阪府)

    メール誤送信、添付ファイルサイズ制限で「安心一斉送信システム」使用できず(大阪府)

  7. 不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

    不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

  8. 毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか

    毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したかPR

  9. 顧客情報ファイル誤送信、再発防止としてシステム導入決定(ボルボ・カー・ジャパン)

    顧客情報ファイル誤送信、再発防止としてシステム導入決定(ボルボ・カー・ジャパン)

  10. サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

    サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

ランキングをもっと見る