海外における個人情報流出事件とその対応「規制強化後も漏えいに苦慮するヘルスケア業界(1)犯罪組織に医療機関の職員が関与」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.08.16(木)

海外における個人情報流出事件とその対応「規制強化後も漏えいに苦慮するヘルスケア業界(1)犯罪組織に医療機関の職員が関与」

国際 海外情報

●規制強化後も漏えいに苦慮するヘルスケア業界

11月10日、Holy Cross Hospital が、患者データシートから個人情報が漏えいした恐れがあるとして、救急治療室を利用した患者に無料の信用監視サービスを提供することを発表した。Holy Cross Hospitalはフロリダにある、1955年創設の非営利のカソリック系病院だ。

事件を報じた『Sun Sentinel』のBob LaMendolaの記事によると、郵便検査サービスの調査官がHoly Cross Hospitalの患者38人の個人情報を含む、紙の記録を見つけたらしい。そのため、連邦政府機関が病院に連絡。病院のコンピュータシステム担当者が、米国検察局や郵便検査サービスと協力して、6月から徹底的な調査を行い、ついにデータ盗難元とみられる職員1名を特定した。この職員は事態が判明して直ぐに解雇されている。

『Sun Sentinel』によると、職員は36歳の女性Natashi Orrで、2009年4月から、解雇された2010年9月までの約1年半の間、Holy Cross Hospitalに勤務していた。6月から調査を行っていたというから、犯人を見つけるのと被害者調査に3ヵ月かかったという計算だ。

病院は、捜査の結果、Orrはコンピュータシステムやネットワークセキュリティを攻撃したのではなく、患者のデータシートをコピーしたとの考えだ。Holy Cross Hospitalでは、Orrが印刷していた情報を発見している。シートには、患者の氏名、住所、生年月日、社会保険番号、そして救急治療室での最初の診断の概略が記載されていた。

11月10日の時点で、Orrが不正に使用したのは、救急治療室の患者のデータシート、約1500人分と病院側はみている。病院側では事件の発覚から、Orrのコンピュータを詳細にわたり調べたが、この1500人がどの患者にあたるのか分からなかった。

漏えい被害者の確認ができないことを受けて、Holy Cross Hospitalでは、Orrが勤務していた2009年4月から2010年9月までに救急治療室を利用した患者全てに通知を行っている。4万4000人に対しての通知状の送付は11月10日の朝から開始した。さらに、事件についての質問に答えるフリーダイヤルのホットラインも開設した。

Holy Cross Hospitalの最高責任者、Dr. Patrick Taylor は声明で、通知は個人情報が不正に使用されないための予防措置だと説明している。被害を受けた可能性があるのは救急治療室を利用した患者のみで、他の部署を利用した患者の情報は無事だという。

●犯罪組織に医療機関の職員が関与

今回の事件に関係しているのは、Holy Cross Hospitalだけではない。Aventuraの医師の事務所で勤務していたaushanah Bowlegも、同様の犯行を行っていた。

調べによるとMildred Alexis(42歳)が病院で勤務していた二人をリクルート。二人が不正に獲得した情報に対して、支払いを行っていた。Alexisはさらに、

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×