最新動向/市場予測

シンガポールの病院チェーンの外部委託先で不正アクセスが発覚

【第144号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2021年10月21日、シンガポールを本拠地として、東南アジア諸国に医療機関チェーンを展開するフラートンヘルス(Fullerton Health)は、外部委託先のアガペ(Agape)CPホールディングスより、患者予約管理に使用していたサーバーへの不正アクセスがあった旨の通知を受けたことを公表しました。

第144号 2021.11.16公開

流出の可能性がある個人情報には、名前や国民登録番号カード(NRIC)またはID番号、連絡先のほか、場合によっては、銀行口座情報や特定の限定された健康関連情報が含まれているとしています。このインシデントによるフラートンヘルス自体のITシステムおよびデータベースへの影響はないとしています。

アガベは、2021年10月25日に公表した声明文の中で、同月19日、悪意のある第三者による不正アクセスにより、クライアント情報が流出したことを検知したとしています。そして、検知が特定されると、さらなる流出を防止するために、直ちに行動したとしています。システムを分離・停止しましたが、コアインフラストラクチャに対する侵害は確認されませんでした。現在まで収集した情報に基づいて、セキュリティのコントロールは、インシデントの影響度を抑制するのに効果的であったとしています。

今回のインシデントは、アガベのクライアントであるフラートンヘルスのシステムまでは及ばなかったとしています。流出した可能性のある顧客情報は、名前、連絡先の詳細など、個人識別情報にとどまっており、クレジットカード情報やパスワードは流出していなかったとしています。また、アガベは、さらなるデータ流出を防止するために、この課題への取組に一歩踏み出しており、侵害からの潜在的危害を最小化するために、セキュリティ専門家と協力しながら、低減策導入に向けたセキュリティ強化に取組んでいるとしています。さらに、本件に関連する主要な地域当局に通知し、セキュリティ専門家や法執行官と密接に連携しながら、調査を行っているとしています。

なお、フラートンヘルスは、シンガポール個人情報保護委員会(PDPC)に通知し、報告書を警察に提出する一方、本件に関する調査を実行するために、デジタルフォレンジックやサイバーセキュリティの専門家チームを設置したことを公表しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・外部委託先が不正アクセス被害に遭ったケースでは、医療機関側への通知や説明が遅れるケースが多々見られる。シンガポールの場合、EUと同様に、個人データ漏えいインシデントを認識してから72時間以内に、PDPCに通知する義務がある。患者・家族に対する一義的責任は医療機関側にあるので、インシデント対応における医療機関‐外部委託先間の連携・情報共有プロセスについて再確認し、必要に応じて改善しておく必要がある。
 

医療機器メーカー/医療品メーカー

・医療機器メーカー/医療品メーカーが、医療機関の保有する個人情報を、外部ネットワーク経由で共有する場合、実際には外部委託先が、医療機関側のITシステムを提供・運用しているケースがある。そのようなケースでは、メーカー、医療機関およびその外部委託先の間で、個人データ漏えいのインシデント対応や予防に係る三者間の連携・情報共有プロセスについて再確認し、必要に応じて改善しておく必要がある。
 

サプライヤー

・医療機関向けのICTサプライヤーが外部からのサイバー攻撃被害に遭って、個人データ漏えいインシデントを発生させた場合、国・地域に関わらず、重要インフラを担う医療機関の外部委託先としてのサプライチェーン・セキュリティに係る責任も負うケースが一般化している。特に、プライバシーとサイバーセキュリティの要求事項が重なるデータ保護対策については、現状を再確認し、必要に応じて改善しておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?