逮捕されたのはプネーにあるPro BPSの取締役、Vikas Dhairyashil Bansode(29歳)で、11月10日のことだ。NASSCOMがプネーのサイバー犯罪部に告訴している。NASSCOMは、National Association of Software and Services Companies の略語で、インドの非営利団体、ソフトウエア・サービス協会のことだ。1988年にインドのソフトウェア産業とBPO産業振興のために設立された。
他にもKunal Abhay Gargatti とJayesh Bhagchandaniの2人が容疑者として挙がっている。Rajendra Dahale本部長補佐(プネー警察サイバー犯罪部) は、『Times of India』に対して「Bansodeは、プネー郊外にあるBPOの会社で所長の地位に就いている」と語っている。漏えいしたのは、英国の企業、Scanning and Data Solutionsのデータだ。患者の医療履歴処理をBansodeの会社に委託していたScanning and Data SolutionsのMichael Benny社長は、Bansodeがデータを販売しているのではないかと疑っていたと、Dahale本部長補佐はいう。「Bennyから、捜査を求めるファクスを受け取った」事件については、英国でも12日付の『Daily Mail』が伝えている。患者の病状、自宅住所、生年月日の入った数百ものファイルが不正に売買されたが、データは1件、4ポンド(588円)という小額で取引されていた。
BPO、すなわちBusiness Process Outsourcing=ビジネス・プロセス・アウトソーシングとは、情報システムの運用や保守業務に付随するデータ入力業務、帳票の印刷・顧客発送業務などを委託するアウトソーシングの形態のことだ。毎年、英国から多数の医療記録がコンピュータ処理のためインドに送られている。
事件の結果、NHSと民間の病院が海外に送る医療記録のセキュリティに関して、疑問の声が上がっている。カルテなどの医療記録が、電子ファイルとして保存されることで大量の情報を効率よく利用できる一方で、新しいセキュリティの問題が生まれている。NHSとは、National Health Serviceの略で英国の国営医療サービス事業のことだ。患者の医療ニーズに対して公平なサービスを提供することを目的に1948年に設立され、現在も運営されている。
『Daily Mail』では、今回の漏えいではLondon Clinicの患者が多かったことを確認。London Clinicにアウトソーシングを行っているか質問している。そして、紙面の記録をコンピュータ上のデータ化するDGL Information Technologies UKを医師に紹介していたことが分かった。さらにDGL Information Technologies UKが、Scanning and Data Solutionsの利用を勧め、Scanning and Data Solutionsが業務をインドへアウトソーシングしていた。
Scanning and Data Solutionsによると、書類はセキュアなインターネット上のWebサイトへアップロードされていたという。処理に際して、インドの会社の従業員と機密保持契約を交わし、さらにデータへのアクセスにはパスワードが必要だった。Scanning and Data Solutionsは過去2年間、大量のデータをインドに送付していたが、事件の結果、インドへのアウトソーシングを中止した。
