海外における個人情報流出事件とその対応「モバイルワーカーのセキュリティ事故」（1）急がれるモバイルデバイスのセキュリティ

●急がれるモバイルデバイスのセキュリティ
8月22日、ダラス郊外のフラワーマウンドにある、約300人の医師とスタッフを擁する医療機関Texas Health Presbyterian Hospitalが、患者の健康状態に関する情報が漏えいしたと患者に通知している。通知は漏えいに関係する法律で定めているためだ。

この事件は、正確には事業上のパートナーであるTexas Health Partnersに関わるものだ。Texas Health Partnersがスタッフに支給したノートPCが6月21日に盗難されていた。盗難事件は、すぐに明らかにならないこともあるが、この事件では当日中に判明し、直ちに地元警察に通報した。

盗難されたノートPCに保管されていた情報は、患者によって異なる。報告書に含まれていた情報によると、氏名とアカウント番号に加え、年齢、アレルギー、主な症状、入院の日時、検査オーダーの日時、検査内容、検体摂取日時、生年月日、診療日、診断、退院に関する指示、雇用主、性別、身長、病歴、保険会社、加入番号、被保険者氏名と被保険者の生年月日、検査内容や結果、婚姻状況、医療記録番号、メディケアに関する質問の答え、使用している医薬品、保証人、使った麻酔、体重、レントゲンの番号、血圧をはじめとするバイタルサインと、患者によってはかなりの情報量となっていた。

Texas Health PartnersとTexas Health Presbyterian Hospital Flower Moundでは事件について、詳しく調査している。その一方で、関係していた職員に対してノートPCやその他、モバイルデバイスの保護についての再教育をはじめとする、適切な措置を行った。さらに、組織内の情報テクノロジーについての方針について見直しを行い、必要と考えられる場合は変更を行ったという。

Texas Health PartnersおよびTexas Health Presbyterian Hospital Flower Moundの双方とも、事件の結果、被害者は個人情報盗難や金融機関に関わる詐欺の大きなリスクはないという考えだ。これは盗まれたノートPCはログインするのに、ユーザIDと12文字のパスワードを必要としていたためだ。

ただし、ノートPCに情報が入っていたとされる患者らに対しては、Equifax、Experian、Trans Unionなど信用調査の会社に対して、詐欺の被害を受ける可能性もあるとして警戒するようアドバイスも行っている。また、質問のある人に対する連絡先について、フリーダイヤルでの問い合わせ窓口も用意している。さらに、漏えい事件に伴ってフィッシング詐欺に狙われる可能性もあることから、この事件についての情報を確認するためと称する連絡が患者宛てにあるかもしれないが、Texas Health Partners、Texas Health Presbyterian Hospital Flower Moundともにそのような理由では電話などはしないと断言。警戒するよう求めている。

●原油流出事故の被害者の情報が漏えい
3月には、メキシコ湾の原油流出事故で賠償責任を求めるルイジアナ州民の情報が記録されたノートPCを、BPの職員が紛失している。3月28日付けの被害者への通知によると、ノートPCはパスワードで保護されていたものの、情報は暗号化されていなかったという。

BP側では

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)