米国の病院が外部委託先のランサムウェア攻撃被害によるデータ漏えいを公表 ブックマークが追加されました
最新動向/市場予測
米国の病院が外部委託先のランサムウェア攻撃被害によるデータ漏えいを公表
【第118号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2020年10月9日、米国コネティカット州ニューヘイブンにあるグリニッジ病院は、サウスカロライナ州のソフトウェア企業ブラックボーで発覚したデータ漏えいインシデントの影響を受けたことを公表しました。
同病院は、寄付者とのコミュニケーションやエンゲージメントにブラックボーのソフトウェアを利用しており、今回のインシデントの影響を受けた可能性のある関係者全員宛に、通知書面を送付したとしています。なお、漏えいしたデータには、銀行口座、社会保障番号、クレジットカード情報など、個人の金融情報は含まれていないとしています。
第118号 2020.10.26公開
ブラックボーは米国NASDAQの株式公開企業であり、2020年8月4日に開示した同年4-6月期Form10-Q報告書の中で、米国証券委員会(SEC)のサイバーセキュリティリスク開示ガイドラインに基づき、今回のセキュリティインシデントについて公表していました。
その後8月12日、ブラックボーは、グリニッジ病院に対して、2020年2月7日~5月20日の間、同社の寄付管理システムがランサムウェア攻撃に遭い、不正アクセスしたグループが非金融情報を削除したことを通知しました。グリニッジ病院の運営母体であるイェール・ニューヘブン・ヘルスシステム(YNHHS)は直ちに、どの情報が潜在的に漏えいしてどの人々が影響を受けたかを確認するために、広範囲に及ぶ内部調査を開始したとしています。
ブラックボーは、外部集団からの要求に応じて身代金を支払い、すべてのデータが破壊され、いかなる情報も流出していないことが保証されたとしているのに対し、グリニッジ病院は、単独でその保証を検証することができないとして、ブラックボーとの関係を見直す予定であることを表明しました。
グリニッジ病院によると、インシデントの対象となったブラックボーのデータベースには、名前、住所、電話番号、生年月日、慈善活動歴など、特定の人口統計情報が含まれていました。ただし、個人の医師名または病院の受診日に関連する情報を有する個人が少数含まれていた可能性があるとしています。一方、ブラックボーのシステムに対する今回のサイバー攻撃があった時、攻撃者は、イェール・ニューヘブン・ヘルスシステムの電子医療記録システムにはアクセスしていないと説明しています。
他方、ブラックボーによると、同社のパブリッククラウド環境にあるシステム(例.Microsoft Azure、Amazon Web Services)やプライベートクラウド環境にあるシステムの大半は、今回のインシデントの対象に含まれていないとしています。
なお、ランサムウェア攻撃に対する身代金支払に関連して、2020年10月1日、米国財務省が「ランサムウェア支払の促進に対する潜在的な制裁リスクに関するアドバイザリー」と題する文書を発出し、金融機関やフォレンジックサービス企業などに対して注意喚起を行っています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・外部委託先がランサムウェア攻撃被害に遭った場合、医療機関側への通知や説明が遅れるケースが多々見られる。個人データ漏えいに係る一義的責任は医療機関側にあるので、インシデント対応における医療機関‐外部委託先間の連携・情報共有プロセスについて再確認し、必要に応じて改善しておく必要がある。
医療機器メーカー/医療品メーカー
・米国市場で株式を公開している医療機器メーカー/医療品メーカーが、医療機関の外部委託先としてデータを預かり処理していてランサムウェア攻撃被害に遭った場合、ブラックボーと同様に、SECのサイバーセキュリティリスク開示ガイドラインに準拠したインシデント情報開示を行う義務があるので、インシデント対応に直接関わる事業部門とコーポレート部門との間の連携・情報共有プロセスについて再確認し、必要に応じて改善しておく必要がある。
サプライヤー
・医療機関向けのICTサプライヤーがランサムウェア攻撃被害に遭って、万一身代金を支払った場合、外部委託先としてのサプライチェーン・セキュリティ要求事項に加え、相手先の運営形態によっては、SECや米国財務省のサイバーセキュリティ関連要求事項の影響を受ける可能性があるので、そのような潜在的リスクについても検討しておく必要がある。
関連記事 [外部サイト]
- Greenwich Hospital「Greenwich Hospital announces Blackbaud breach」(2020年10月9日)
- Blackbaud「Security Incident」(2020年9月29日更新)
- U.S. Securities and Exchange Commission (SEC)「Form 10-Q Blackbaud Inc Quarterly report」(2020年8月4日)
- U.S. Department of Treasury「Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments」(2020年10月1日)[PDF, 74.25KB]
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。