カナダのプライバシー保護当局が臨床検査企業の個人情報漏えいを認定 ブックマークが追加されました
最新動向/市場予測
カナダのプライバシー保護当局が臨床検査企業の個人情報漏えいを認定
【第112号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2020年6月25日、カナダのオンタリオ州情報プライバシーコミッショナーとブリティッシュコロンビア州情報プライバシーコミッショナーは、2019年に発覚した臨床検査企業LifeLabsのデータ漏えい事案に対する調査に関連して、オンタリオ州健康プライバシー法(PHIPA)およびブリティッシュコロンビア州個人情報保護法(PIPA)違反があったことを公表しました。
第112号 2020.7.27公開
両州のコミッショナーが2019年12月17日に公表した声明によると、LifeLabsは、同年11月1日、自社のコンピューターシステムがサイバー攻撃に遭い、主にオンタリオ州とブリティッシュコロンビア州の顧客の個人情報が影響を受ける可能性があることを報告しました。影響を受けたシステムには、名前、住所、電子メール、顧客のログインIDおよびパスワード、保健カード番号、検査結果などを含む総数約1500万人の顧客の個人情報が保存されていました。LifeLabsによると、サイバー犯罪者がコンピューターシステムに侵入し、データを抜き取って、身代金を要求してきたということです。これに対して、LifeLabsは、外部のセキュリティ・コンサルタントに調査およびデータのセキュリティの復旧支援を依頼しました。
その後、両コミッショナーによる調査が実施され、今回、以下のような点について法違反があったと判断されました。
- 電子システムにある個人健康情報を保護するために、合理的なステップを踏んでいなかった
- 適切な情報技術セキュリティポリシーを策定していなかった
- 合理的に必要以上の個人健康情報を収集していた
この調査結果を受けて、両コミッショナーは、LifeLabsに対し、以下のような是正措置を命じています。
- 情報技術セキュリティに関する特定のプラクティスを改善すること
- 情報技術セキュリティに関する情報プラクティスおよびポリシーを、書面により正式に策定すること
- 特定の情報の収集を中止し、今まで収集した情報の記録をセキュアに廃棄する
なお、オンタリオ州政府は、2020年3月25日、オンタリオ州保健プライバシー法を改正しており、情報プライバシーコミッショナーは、同法に違反した企業および個人に対して罰金を科す権限を有するようになる予定です。ブリティッシュコロンビア州政府も、今後、オンタリオ州と同様の規定を制定するために、個人情報保護法を改正する必要があるとしています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・外部臨床検査機関に業務を委託している医療機関は、自社の委託業務に係るセキュリティポリシー/手順や、外部委託先との契約内容などを再確認し、外部委託先でサイバー攻撃に起因するインシデントが発生した時の法規制対応や責任分界点、情報共有体制などについて、両者で協議し、必要に応じて改善しておく必要がある。
医療機器メーカー/医療品メーカー
・臨床検査データをリアルワールドデータ(RWE)/リアルワールドエビデンス(RWD)用途で2次利用するメーカーは、データインテグリティの観点から、医療機関およびその外部委託先臨床検査機関のサプライチェーンに係るデータ保護体制や、セキュリティ・インシデント対応・情報共有体制などについて、事前にリスク評価を行い、継続的にモニタリングしておく必要がある。
サプライヤー
・臨床検査機関向けのICTサプライヤーは、サイバーサプライチェーン・リスクマネジメントの観点から、自社が提供する製品・サービスに係るセキュリティ・インシデントが発生した場合、臨床検査機関や、その委託元医療機関や患者・家族に及ぼすインパクトについてのリスク評価を行い、自社のサポート業務を継続できるような体制の見直し作業を行っておく必要がある。
関連記事 [外部サイト]
- Information and Privacy Commissioner of Ontario「Ontario IPC and BC OIPC find LifeLabs failed to protect personal information in 2019 breach」(2020年6月25日)
- Information and Privacy Commissioner of Ontario「Statement from the Office of the Information and Privacy Commissioner of Ontario and the Office of the Information and Privacy Commissioner for British Columbia on LifeLabs Privacy Breach」(2019年12月17日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
