オーストラリア情報コミッショナーオフィスがデータ侵害通知報告書を公表 ブックマークが追加されました
最新動向/市場予測
オーストラリア情報コミッショナーオフィスがデータ侵害通知報告書を公表
【第139号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年8月23日、プライバシー/個人情報保護を所管するオーストラリア情報コミッショナーオフィス (OAIC) は、「2021年1月~6月データ侵害通知報告書」を公表しました。OAICは、データ侵害通知(NDB)スキームに基づいて受領した通知に関する統計情報を時系列で公開しており、今回の報告書は、2021年1月1日~6月30日を対象期間としてとりまとめたものです。
第139号 2021.9.8公開
OAICは、今回の報告書における主な傾向として、以下のような点を挙げています。
- データ侵害通知スキームに基づいて、446件の侵害が報告された(2020年7月~12月の530件と比較して16%減少)
- 悪意のあるまたは犯罪的な攻撃が、最大の原因となっている(289件で全侵害件数の65%、前期の304件と比較して5%減少)
- 人的エラーに起因する通知が134件を占めた(全体の30%、前期の203件と比較して34%減少)
- 産業セクター別の通知報告件数では、医療(全体の19%)が最も多く、金融(全体の13%)が続く
- データ侵害に含まれる個人情報で最も共通しているタイプはコンタクト情報
- データ侵害の93%は5,000人以下の個人に影響を及ぼしたが、65%は100人以下の個人への影響に留まっていた
- 72%の主体は、後に適格なデータ侵害であると評価されたインシデントを知ってから30日以内に行っていた
また、報告書では、医療セクターの傾向として、以下のような点を挙げています。
- データ侵害を報告した医療機関の80%はインシデント発生を特定後30日以内にOAIC宛に通知している(金融機関では67%、政府機関では35%が30日以内に通知)
- 医療機関におけるデータ侵害の原因については、「悪意のあるまたは犯罪的な攻撃」が48件で最も多く、次いで「人的エラー」が35件、「システム障害」が2件となっている
- 「悪意のあるまたは犯罪的な攻撃」48件のうち、31件は「サイバーインシデント」、12件は「事務処理またはデータストレージデバイスに関する窃盗」、5件は「不正な従業員/内部の脅威」であった
- 「サイバーインシデント」31件のうち、「フィッシング」が10件、「ランサムウェア」が10件、「危険にさらされたまたは盗まれた資格情報」が5件、「ハッキング」が3件、「マルウェア」が2件、「ブルートフォース攻撃」が1件であった
- 「人的エラー」35件のうち、「個人情報の誤送信(電子メール)」が14件、「電子メール送信時のBCC使用の失敗」が5件、「権限のない開示(意図していなかった開示)」が4件、「事務処理またはデータストレージデバイスに関する損失」が4件、「個人情報の誤送信(郵便物)」が3件、「権限のない開示(黒塗りの失敗)」が2件、「権限のない開示(口頭)」が2件、「個人情報の誤送信(その他)」が1件であった
なお、OAICの報告書では、2012年マイヘルスレコード法に基づくオーストラリア市民向け個人健康記録(PHR)に関連したデータ侵害通知を対象外としています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・調査結果を見ると、医療機関の間では、外部からのサイバー攻撃に起因するデータ侵害インシデントの比率が高まる一方、人的エラーに起因するインシデントも依然として発生している。医療機関のIT/セキュリティ部門は、外部インターネットとの接点を有する各部門ユーザーのランサムウェアやフィッシングに対する認識を向上させると同時に、人的エラーの根絶に向けてリスク軽減策を徹底する必要がある。
医療機器メーカー/医療品メーカー
・医療機関との間で、電子メールやファイルをやりとりするメーカーのIT/セキュリティ部門は、業務部門ユーザーがランサムウェアやフィッシングの踏み台にされないように、注意を喚起すると同時に、医療機関側の人的エラーに起因するインシデントの影響を受けた時を想定した対応策を検討しておく必要がある。
サプライヤー
・医療機関向けにIT関連・サービスを提供するサプライヤーは、外部からのサイバー攻撃によるインシデントおよび内部の人的エラーに起因するインシデントの双方のリスクが高まっていることを認識し、サプライチェーンセキュリティ対策の強化に努める必要がある。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。