特に厳しい管理が求められる医療機関での情報管理(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.21(月)

特に厳しい管理が求められる医療機関での情報管理(1)

特集 特集

個人情報を管理するための法律で注目を集めたものの代表的なものは、2003年7月に施行されたカリフォルニア法、そして2003年4月に発効された“医療保険の携行性と責任に関する法律、HIPAA”だ。カリフォルニア法はカリフォルニア州法で、個人情報盗難の被害者に通知を義務付けるもの、HIPAAは連邦法で医療機関での情報電子化の推進とそれにまつわるプライバシー保護、セキュリティ確保について定める。

去る2月、米国の信用調査企業ChoicePointから14万5000件の個人情報が漏洩し、米国社会で情報管理について規制強化が求める声が上がっている。今回はHIPAAで強化が求められた医療機関でのセキュリティの問題を探ってみよう。

●重要データの入ったコンピュータ盗難

2004年12月、デルタ血液銀行が献血者に対し、情報の入ったコンピュータが盗難に遭い、個人情報を不正に利用される恐れがあると通知した。

事件は2004年12月10日、献血車から2台のラップトップ・コンピュータが盗難されたもので、同日献血を行った市民が登録した内容が保存されていた。氏名、住所、生年月日、社会保険番号などが保存されていたという。

事件後、デルタのジョン・オニール人事部長は、ラップトップはセキュリティ2段構えになっていて、盗難犯が容易には情報にアクセスできないと発表している。その1つは、マイクロソフトのウィンドウズを起動する際のパスワード。2段階目が、データベースにアクセスするには幾つかのステップを踏む必要があったというものだ。そのため、「ハッカーなどのコンピュータの専門家ならアクセスできるが、一般市民には簡単にはプログラムを起動させることはできないだろう」と危険性が低いことをアピールする一方で、「但し、可能性は皆無とは言えないため、通知を行った」

同時に、社会保険番号の使用について、大学などの情報漏洩にもからみ、大きく取りざたされている中、今後は使用しないと発表。さらにコンピュータ他、データと関係するものの使用規定を改めて定め、セキュリティ強化を図った。

コンピュータ盗難による情報漏洩だが、今年2月はじめにも、アリゾナ州のカールT. ヘイデン復員軍人病院から9台のコンピュータが盗難されている。中には3688名の復員兵の氏名や社会保険番号などのデータが入っていたとして、該当者に通知を行い、同時に個人情報盗難の恐れがあるため、クレジットカード会社に連絡をすることを勧めた。

デルタやアリゾナ州復員軍人病院の事件では、事件から3ヵ月経過した現在も、個人情報が不正に使用された形跡はない。警察なども、機械を狙ったものとみている。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×