カリフォルニア州司法当局が地域公衆衛生機関のデータ侵害通知を公表 ブックマークが追加されました
最新動向/市場予測
カリフォルニア州司法当局が地域公衆衛生機関のデータ侵害通知を公表
【第202号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2024年3月22日、カリフォルニア州司法長官室は、ロサンゼルス郡精神衛生局(DMH)より、データ侵害通知の提出を受けたことを公表しました。カリフォルニア州政府は、企業や州・地方政府機関に対して、暗号化していない個人情報が侵害されたと合理的に考えられるすべてのカリフォルニア州居住者に通知するよう求めており、特に500人以上の州居住者に通知を送付した場合、そのサンプルを州司法長官室に提出するよう求めています。
第202号 2024.5.8公開
精神衛生局の提出文書によると、2024年1月22日、カリフォルニア州ロサンゼルス郡のガーデナ市警察(GPD)が、サイバー攻撃の標的となりました。特に、単独または複数の脅威アクターが、プッシュ通知スパムとして知られる多要素認証(MFA)攻撃を介して、ガーデナ市警職員のMicrosoft Office 365アカウントにアクセスできる状態にあったとしています。ガーデナ市警とロサンゼルス郡精神衛生局との電子メール交換により、単独または複数の悪意あるアクターが精神衛生局職員に電子メールを送信して、職員のMicrosoft Office 365アカウントにアクセスすることが可能になったということです。
精神衛生局は、サイバー攻撃により、悪意のある者が特定の個人情報にアクセスしたという見解を示しています。ただし、データ侵害を通知した時点で、いかなる個人情報についても、悪用されたという証拠は確認されていないとしています。念のため、サイバー攻撃情報をユーザーに周知することによって、プロアクティブな手段をとり、ユーザー自身および自身の情報を守るのに役立てることができるようにしていると説明しています。
今回取得された可能性がある個人情報には、名前、生年月日、社会保障番号、住所、電話番号、医療記録番号が含まれています。精神衛生局は、データのプライバシーおよびセキュリティを最優先目標に掲げて、情報を信頼された状態に守るために、幅広い保護策をとってきたことを強調しています。問題の発見後、影響を受けたアカウントを迅速に無効化し、Microsoft Office 365および多要素認証の資格情報をリセットしたとのことです。
精神衛生局は、調査によりどのアカウントが侵害されたかを判断した後、業界をリードするフォレンジック専門家の支援を受けながら、影響を受けたアカウントにおける個人識別情報または個人健康情報を特定する包括的なレビューを立ち上げたとしています。2024年3月19日にこの調査を完了し、今回のイベントにより、個人情報の特定要素が影響を受けたと判断しました。
なお、連邦政府レベルでは、医療保険の携行性と責任に関する法律(HIPAA)の侵害通知規則により、適用対象主体(CE:Covered Entity)および事業提携者(BA:Business Associates)に対して、500人以上に影響を与える保護対象保健情報(PHI:Protected Health Information)侵害を発見したら60日以内に、保健福祉省(HHS)および個人に通知するよう求めています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国の場合、保健福祉省(HHS)が所管するHIPAA侵害通知規則に加えて、カリフォルニア州など、州政府が所管するデータ侵害通知規則においても、インシデントが発覚したら侵害の影響を受けた個人および所管当局に通知する義務を定めている。一定規模以上のインシデント報告については、連邦政府および州政府レベルの各所管当局が一般向けに開示する規定になっているので、日本の医療機関のセキュリティ管理者も米国の最新事例を参照しながら、インシデント対応計画策定やサイバー教育・訓練に組込んでいく必要がある。
医療機器メーカー/医療品メーカー
・カリフォルニア州の侵害通知報告制度は、公衆衛生機関や医療機関、医療保険者だけでなく、金融、製造など、州内で事業活動を行う一般企業に対しても適用される。実際に、日本企業傘下の米国法人のインシデント情報が開示された事例もある。ただし州によって開示内容が異なるケースも見受けられるので、米国事業を展開する医療機器メーカー/医薬品メーカーは、日頃から他社事例をチェックしておく必要がある。
サプライヤー
・カリフォルニア州内で医療機関や医療保険者、医療機器メーカー/医薬品メーカー向けにIT関連製品・サービスを提供するサプライヤーは、サプライチェーンリスク管理の観点から、米国における顧客先企業およびその外部委託先企業におけるセキュリティインシデントの発生要因や発生場所、対応策などの動向について継続的にモニタリングし、自社のインシデント対応計画の策定・運用に役立ていく必要がある。
関連記事 [外部サイト]
- State of California Department of Justice – Rob Bonta, Attorney General「Submitted Breach Notification Sample -Los Angeles County Department of Mental Health」(2024年3月22日)
- California Legislative Information「California Civil Code s. 1798.29(a) 」(2022年9月18日更新)
- California Legislative Information「California Civ. Code s. 1798.82(a)」(2023年1月1日更新)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
執筆者
笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事
