最新動向/市場予測

米国の精神科医療機関の個人情報がクラウドストレージに流出

【第130号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

米国フロリダ州の精神科医療機関サルスケア(SalusCare)は、電子メールによるマルウェア攻撃に起因するセキュリティ・インシデントを確認し、2021年3月19日、米国保健福祉省(HHS)の公民権室(OCR)宛に通知しました。

第130号 2021.4.20公開

サルスケアによると、2021年3月16日、院内のコンピューター技術者が、システムのスローダウンを検知し、不正アクセス監査ログを通じて、何者かによる不正アクセスがあり、データベースが複製されたことを確認したとしています。複製されたデータには、患者および職員の個人情報(精神疾患や中毒に関する記録や社会保障番号など)約85,000人分が含まれていました。

同院の監査ログにより、ハッカーのコードがウクライナで生成されたことと、データベースから複製されたデータがクラウドストレージ上にアップロードされたことが確認されました。サーバーへのアクセスは、同院の職員に付与されたパスワードのみ可能でしたが、電子メールを悪用したフィッシング詐欺攻撃を受けて、不正アクセスに至ったとしています。

これを受けてサルスケアは、2021年3月23日、フロリダ中部地区連邦地方裁判所フォートワース支部に対し、クラウドストレージ上に保存されたデータを保全する一時的差止命令を求める申立を行い、3月25日、裁判所は一時的差止命令を発出しました。

裁判所の判断を受けて今後の対応が注目されます。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療機関に対するサイバー攻撃に関連して、国際刑事警察機構(INTERPOL)が、日本を含む194の加盟国の警察当局に対し、警告通知文書を発出しており、サルサケアのようなケースは対岸の火事ではない。日本の医療機関も、今回のケースを参考に、現行のサイバーインシデント対応に係るポリシーや手順を再点検し、対策準備を進めておく必要がある。
 

医療機器メーカー/医療品メーカー

・医療機関とデータをやりとりする医療機器メーカー/医薬品メーカーは、医療機関のシステム内にあるデータがサードパーティ・プロバイダーのサイト等で公開された場合を想定して、電子メールセキュリティや、事業継続管理、バックアップ保存などの対策を再点検し、必要に応じて改善しておく必要がある。
 

サプライヤー

・医療機関向けのICTサプライヤーも、医療機器メーカー/医療品メーカー向けのICTサプライヤーも、医療情報システム内にあるデータがサードパーティ・プロバイダーのサイト等で公開された場合でも、自社製品・サービスのサポートを継続できるような体制の見直し作業を行っておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?