海外における個人情報流出事件とその対応第226回 米医療機関、患者情報のセキュリティ確保に苦心(2)注意したい、有名人の医療情報のセキュリティ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

海外における個人情報流出事件とその対応第226回 米医療機関、患者情報のセキュリティ確保に苦心(2)注意したい、有名人の医療情報のセキュリティ

国際 海外情報

●カリフォルニアで5カ所の病院が処分
6月10日、カリフォルニア州公衆衛生局では5カ所の病院に対して、極秘の患者医療情報への不正アクセスを防ぐことができなかったとして、罰金処分とすることを発表した。罰金額は合計で67万5000ドルだ。

ほかに処分があったのは、まずは北カリフォルニアのEnloe Medical Center。7人の職員が1人の患者の医療情報に権限なしでアクセスしているとして、13万ドルの罰金が課せられた。

Enloe Medical Centerが保護された医療記録への不正アクセスを確認して、公衆衛生局に報告したのは、2009年8月17日だ。その10日後、集金業者による怪しい出入りにスタッフの一人が気付く。そして集金業者のマネージャーに確認して、この業者が不正アクセスしていたことが明らかになった。残りの7人についてはその後の調査で分かったものだ。

また、同じくカリフォルニア州北部のRideout Memorial Hospitalでは、警備員17人が、患者33 人のコンピュータ内の医療情報に、権限なし、そして職務に関係なく、アクセスしていた。警備員が閲覧可能なのは、患者名と部屋番号だけであるべきだったが、アクセス管理が十分でなかったため、情報保護が必要な電子カルテまで見ることができるようになっていた。その後の調査で、情報保護違反を行った警備員は、HIPAAに基づきトレーニングを受けていたことが分かっている。しかし、不正にアクセスしているという感覚はなかったようだ。Rideout Memorial Hospitalへの罰金は10万ドルだ。

サンフランシスコとロサンゼルスの間、ベーカーズフィールドのSan Joaquin Community Hospitalでも、2人の職員が3人の患者の情報を漏えいしたことが分かった。これは病院で治療を行った別の患者が、病院に対して、訴訟を起こしたところ、その書類の中に関係のない3人の患者の検査結果が入っていたというもので、職員が故意に漏えいしたのではなく、いわゆるケアレスミス、不注意だ。事態が明らかになってから、病院ではミスを避けるためにも事務手続きを改善した。罰金は2万5000ドルだ。

今回処分を受けた医療機関は、ハッカーによるシステムの攻撃などではなく、どちらかというと、患者の医療記録という、重要な個人情報を扱う職員の基本的な姿勢が不十分であったためだ。HIPPA施行に伴い、データ保護のための様々な対策を取っているものの、まだまだ問題が多いことが、浮き彫りになっている。カリフォルニア州公衆衛生局では、今後、同様の事件が起こらないように、各医療機関に対して、10営業日以内に是正計画を実施することを求めている。

●注意したい、有名人の医療情報のセキュリティ
一連のセキュリティ違反で、最も注目を集めたのは、ロサンゼルスのRonald Reagan UCLA Medical Centerのケースだ。1人の患者の医療情報に、4人の職員が不正にアクセスしたとして9万5000ドルの罰金となっている。

Ronald Reagan UCLA Medical Centerは米国の病院の中でも、トップ3の1つに挙げられる、優れた病院だ。US News & World Reportでは西海岸では最高の病院としている。

公衆衛生局では、患者名を明らかにしていなかったが、権威ある病院で、職員が不正にアクセスをした患者について、幾つかのメディアが報じていて、マイケル・ジャクソンの情報であったことが分かっている。

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×