米国の眼科医療機関が外部委託先経由のサイバー攻撃被害を公表 ブックマークが追加されました
最新動向/市場予測
米国の眼科医療機関が外部委託先経由のサイバー攻撃被害を公表
【第127号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年2月8日、米国カリフォルニア州のハーバード・アイ・アソシエイツは、保健福祉省(HHS)公民権室(OCR)に対し、外部の事業提携者(Business Associate)に起因する患者29,982人分の個人情報漏えいインシデントが発生したことを通知しました。ハーバード・アイは、州内3か所に医療施設を有する眼科専門の医療機関です。
第127号 2021.3.9公開
ハーバード・アイ(HIPAA規則の適用対象主体(CE: Covered Entity)に該当)によると、2021年1月15日、外部委託先であるオンライン・データストレージ・ベンダー(HIPAA規則の事業提携者(BA: Business Associate)に該当)より、同社のコンピュータシステムに外部からの不正アクセスがあり、データの一部(HIPAA規則の保護対象保健情報(PHI: Protected Health Information)を含む)が盗まれたという通知がありました。ベンダーからの通知により、ハッカーが盗んだデータの代償として、金銭を要求していることを知らされました。ベンダーは、サイバーセキュリティ専門家および連邦捜査局(FBI)に相談した後、金銭を支払いましたが、その際に、ハッカーはデータを返却し、ベンダーに対して、データを公開したり、コピーを保存したりすることはないと告げたとしています。
ハーバード・アイによると、ベンダー側は、ハッカーが、2020年10月24日までには、ハーバード・アイのデータにアクセスしていた可能性があると結論付けています。その後、ベンダーのサイバーセキュリティ専門家がインターネットをモニタリングして、ハッカーがデータのいかなる部分も利用または公開した形跡は見つからなかったとしています。
ハッカーが盗んだ情報には、ハーバード・アイが所有する患者情報の一部が含まれていたほか、アリシア外科センターの患者情報(外科センター向けの管理サービスを実行するためにハーバード・アイが利用していた)も含まれていました。
また、ハッカーが盗んだ情報には、患者の名前、住所、電話番号、電子メールアドレス、生年月日、病歴、医療保険情報、治療薬、ハーバード・アイからの診療に関する情報が含まれていました。アリシア外科センターで眼科手術を受けた患者の一部については、手術に関連する医療情報が含まれている可能性があるとしています。ハッカーは、患者の社会保障番号、運転免許証番号、その他の政府ID番号、クレジット/デビットカードには、アクセスしていなっかたとしています。さらに、ハッカーがアクセスしたデータには、現在および過去のハーバード・アイの職員と、場合によっては、家族および受益者に関する特定の個人情報が含まれていたとしています。
ベンダー側は、インシデント発生後、FBIに連絡する一方、サイバーセキュリティ専門家を雇用して調査を実施し、ハッカーからのアクセスをブロックして、再発防止対策を講じているとしています。
他方、ハーバード・アイ側は、インシデントのレビューおよび分析を実施し、患者データのセキュリティを維持・強化する取組を継続的に行うとしています。また、今回のインシデントにより影響を受けたすべての個人に対して、無料のクレジットモニタリングおよびID詐欺保護サービスを提供するとしています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・このケースでは、外部委託先ベンダーが身代金を支払った後に、医療機関側がインシデント情報を開示している。機微な個人データの処理や保管関連業務を外部委託する医療機関は、委託先ベンダーの契約管理、インシデント発生時の関係ステークホルダーとの情報共有、組織の枠を越えたエスカレーション・マネジメントなどを見直して、事前のインシデント対応準備・訓練に反映させておく必要がある。
医療機器メーカー/医療品メーカー
・医療機関の情報システムとネットワーク接続して、個人データを利用する医療機器・医薬品メーカーは、本事例のように、医療機関外にあるオンライン・データストレージ・ベンダーのインシデントが原因で、自社側の業務プロセスが影響を受けるケースが想定されるので、契約上の責任分界点やリスク軽減策など、インシデント対応準備について見直してしておく必要がある。
サプライヤー
・米国HIPAA規則には、適用対象主体(CE: Covered Entity)と事業提携者(BA: Business Associate)の間のセキュリティ/プライバシー管理に関する規定はあるが、同じ適用対象主体から受託した事業提携者同士の関係について、特段の規定はない。医療機関の情報システムに関わるサプライヤー/ベンダーは、サイバーサプライチェーン・リスクマネジメントの観点から、医療機関の外部にあるサードパーティーの事業提携者に起因するセキュリティインシデントが発覚した場合の自社に及ぶインパクトを評価し、責任分界点やリスク軽減策について再検討しておく必要がある。
関連記事 [外部サイト]
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
