海外における個人情報流出事件とその対応第226回 米医療機関、患者情報のセキュリティ確保に苦心(2)注意したい、有名人の医療情報のセキュリティ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.16(水)

海外における個人情報流出事件とその対応第226回 米医療機関、患者情報のセキュリティ確保に苦心(2)注意したい、有名人の医療情報のセキュリティ

国際 海外情報

●カリフォルニアで5カ所の病院が処分
6月10日、カリフォルニア州公衆衛生局では5カ所の病院に対して、極秘の患者医療情報への不正アクセスを防ぐことができなかったとして、罰金処分とすることを発表した。罰金額は合計で67万5000ドルだ。

ほかに処分があったのは、まずは北カリフォルニアのEnloe Medical Center。7人の職員が1人の患者の医療情報に権限なしでアクセスしているとして、13万ドルの罰金が課せられた。

Enloe Medical Centerが保護された医療記録への不正アクセスを確認して、公衆衛生局に報告したのは、2009年8月17日だ。その10日後、集金業者による怪しい出入りにスタッフの一人が気付く。そして集金業者のマネージャーに確認して、この業者が不正アクセスしていたことが明らかになった。残りの7人についてはその後の調査で分かったものだ。

また、同じくカリフォルニア州北部のRideout Memorial Hospitalでは、警備員17人が、患者33 人のコンピュータ内の医療情報に、権限なし、そして職務に関係なく、アクセスしていた。警備員が閲覧可能なのは、患者名と部屋番号だけであるべきだったが、アクセス管理が十分でなかったため、情報保護が必要な電子カルテまで見ることができるようになっていた。その後の調査で、情報保護違反を行った警備員は、HIPAAに基づきトレーニングを受けていたことが分かっている。しかし、不正にアクセスしているという感覚はなかったようだ。Rideout Memorial Hospitalへの罰金は10万ドルだ。

サンフランシスコとロサンゼルスの間、ベーカーズフィールドのSan Joaquin Community Hospitalでも、2人の職員が3人の患者の情報を漏えいしたことが分かった。これは病院で治療を行った別の患者が、病院に対して、訴訟を起こしたところ、その書類の中に関係のない3人の患者の検査結果が入っていたというもので、職員が故意に漏えいしたのではなく、いわゆるケアレスミス、不注意だ。事態が明らかになってから、病院ではミスを避けるためにも事務手続きを改善した。罰金は2万5000ドルだ。

今回処分を受けた医療機関は、ハッカーによるシステムの攻撃などではなく、どちらかというと、患者の医療記録という、重要な個人情報を扱う職員の基本的な姿勢が不十分であったためだ。HIPPA施行に伴い、データ保護のための様々な対策を取っているものの、まだまだ問題が多いことが、浮き彫りになっている。カリフォルニア州公衆衛生局では、今後、同様の事件が起こらないように、各医療機関に対して、10営業日以内に是正計画を実施することを求めている。

●注意したい、有名人の医療情報のセキュリティ
一連のセキュリティ違反で、最も注目を集めたのは、ロサンゼルスのRonald Reagan UCLA Medical Centerのケースだ。1人の患者の医療情報に、4人の職員が不正にアクセスしたとして9万5000ドルの罰金となっている。

Ronald Reagan UCLA Medical Centerは米国の病院の中でも、トップ3の1つに挙げられる、優れた病院だ。US News & World Reportでは西海岸では最高の病院としている。

公衆衛生局では、患者名を明らかにしていなかったが、権威ある病院で、職員が不正にアクセスをした患者について、幾つかのメディアが報じていて、マイケル・ジャクソンの情報であったことが分かっている。

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×