海外における個人情報流出事件とその対応 第186回 課題を抱える医療機関での情報保護 (1)高等教育機関で相次ぐ個人情報の漏えい | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

海外における個人情報流出事件とその対応 第186回 課題を抱える医療機関での情報保護 (1)高等教育機関で相次ぐ個人情報の漏えい

製品・サービス・業界動向 業界動向

 11月12日、フロリダ大学が、歯学部のコンピュータサーバが不正侵入を受け、個人情報が漏えいしたと発表した。被害を受けたとして通知を受けたのは約33万人で、現在および過去に歯科治療を受けた患者だ。

 侵入が分かったのは10月3日。ITスタッフがサーバのアップグレードを行っていたところ、マルウェアがリモートでインストールされていることを判明したという。大学では直ちに、マルウェアがインストールされていたサーバを、インターネットから外した。

 サーバに保管されていて、不正アクセスを受けた可能性がある情報は、患者の氏名、住所、生年月日、社会保険番号、さらに一部には、受けた歯科治療に関するものや、1990年に利用した患者の古いデータもあった。データは残念ながら暗号化がされていなかった。

 10月3日にマルウェアが見つかってから通知まで、1カ月以上かかったことについて、大学のITスタッフと外部のコンサルタントによって、被害状況の確認が行われていたためとしている。また捜査のために発表を待つよう、警察からも指示があったようだ。フロリダ州では個人情報漏えい事件が起こった場合、発見から45日以内に通知することが定められており、規定期間内には連絡していることになる。

 現在のところ攻撃側の意図は分かっていない。大学では、被害者への通知の中で、データが悪用される可能性も指摘して、警戒を呼びかけている。また、通知を行った33万人以外にも約8,000人は現在の住所が分からず、連絡が取れていない。

 事件を受けて、「ほかの大きな教育機関と同じように、ターゲットとなったのは不運だった」とテレサ・ドラン歯学部学長はコメントを行っている。その上で、「引き続きセキュリティを強化し、患者の信頼を維持するために努力していく」と決意を明らかにしている。

 フロリダ大学では近年、ファイアウォールや侵入探知システムを強化、極秘情報を含むようなデータは暗号化を行ってきた。また、脅威の特定とサーバ保護のために警戒を強めてきた。事件はこれらの努力にもかかわらず起こったという。

 大学側は事件を非常に重視し、状況を確認してすぐに捜査を開始した。一方で個人情報保護のための予防措置を新たに加えている。患者には、大学側でまとめた措置を採るように求めると同時に、事件が不便を引き起こしていることについて、遺憾の意を表した。

 事件はFBIと大学の警察が捜査中だ。大学側はキャンパス内のコンピュータのスクリーニングを行い、そこに保管されている情報保護のための措置が採られているよう確認して、事件の拡大を防いでいる。

●データ保護規定にかかわらず起こる漏えい

 大学などの高等教育機関で、個人情報漏えい事件が多数起こっていることは、繰り返し指摘されてきている事実だ。今回の事件もフロリダ大学の歯学部が攻撃を受けたということで、大学からの漏えいと考えることができる。今年に入ってからも、ハッカーに攻撃されたジョージア大学、ポータブルのハードドライブを紛失したAkron大学やテネシー工業大学、スタッフからの攻撃を受けたBaylor大学をはじめ、さまざまな事件が報告されている。

 しかし、歯学部の患者が被害を受けていることから、高等教育機関への攻撃同様に、問題視されている医療関連データの漏えい事件としても捉えることができるだろう。米国では1966年、Health Insurance Portability and Accountability Act(医療保険の相互運用性と説明責任に関する法律、HIPAA)を制定。2003年にHIPAAプライバシーガイドラインの最終版が発表され、医療情報を扱う機関は準拠するよう求められている。ほかの産業の企業や組織と比べ、さらに情報の取り扱いには注意を払っているはずだ。

 それにもかかわらず、実際はデータが危険に晒されているのが実情だ。Kroll Fraud Solutionsが委託を受けて作成した患者データのセキュリティに関する、2008年の『HIMSS分析報告書』でも、病院やヘルスケア施設で集められ、保管されているデータは、犯罪者の主要ターゲットとなっているとしている。Kroll Fraud Solutionsはセキュリティ・サービスとリスク緩和のコンサルティングの会社だ。

 医療機関が攻撃を受けやすいのは、データが"不正を行うための内容"が豊富で、かつ"利益性が高い"ためだという。大学などの教育機関では、社会保険番号を使用しなくなってきているが、病院では今も使っている。"黄金のコンビ"と形容される、氏名、社会保険番号、生年月日の組み合わせがあれば、簡単に他人名義でクレジットカードを作成したりすることができる。

 加えて、郵便物送付住所、保険の情報、治療歴・内容、クレジットカードや金融機関の情報までと豊富な個人情報が医療機関で集められている。また、人間の生と死の現場でもある病院が所有する出生、死亡記録は、個人情報盗難犯にとって、利用しやすい情報だ。同様に高齢者や子どもの記録がある。これらのデータが悪用された場合、被害者が気付くのが遅れがちだし、予防措置を講じていないことが多いという利点が犯罪者にある。だからこそ、情報の機密保護が強く求められる。

●データ保護の基本遵守とスタッフ教育が鍵

 さて、このような状況の下、医療機関からの情報漏えい事件防止のためにも、まずは問題点などを把握しようというのが『HIMSS分析報告書』での調査だ。Kroll Fraud Solutionsでは、医療機関のIT問題を扱う取締役や役員、主席セキュリティ役員、ヘルス情報マネージャーなどに電話でアンケートを行った。その際、患者のデータに関するセキュリティに詳しい役員、スタッフのみを対象としている。

 調査に参加した医療施設のスタッフが…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  7. ダークウェブからAIで情報収集(DTRS、IISEC)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×