豪州政府電子処方箋サービスの元外部委託先がセキュリティインシデントを公表

第204号　2024.6.5公開

メディセキュアによると、早期指標により、インシデントが、サードパーティベンダーの1つから起きたことが示唆されました。これに対して同社は、重大な法的および倫理的責務を負っており、この情報が懸念されることを理解しているという見解を示しました。その上で、国家サイバーセキュリティコーディネーターによるインシデントのインパクトの管理を積極的に支援するとともに、オーストラリア情報コミッショナーオフィスおよびその他の主要規制当局に通知したとしています。メディセキュアは、透明性が重要であることを理解しており、より多くの情報が入手可能になったらすぐにさらなる更新情報を提供する予定だとしています。

メディセキュアの動きと並行して、オーストラリア内務省も、同社のインシデントに関する詳細情報を公表しています。これは、オーストラリア連邦政府が、2023年までの間、同社に電子処方箋配布サービスを外部委託していたことによるものです。インシデントが発覚したメディセキュアのサードパーティベンダーは、オーストラリア連邦政府にとって再委託先に該当します。

オーストラリア内務省によると、電子処方箋配布サービスは、処方者から個人が選択した薬局まで処方箋（紙または電子的形態）を送付するサービスであり、2023年後半まで、メディセキュアがプロバイダーの1社として、全国レベルでサービス運用業務を受託していました。2023年5月、オーストラリア政府は、このサービスに関する入札を完了し、メディセキュアに代わり、フレッドITグループのeRxスクリプトエクスチェンジ（eRx）が一括受託することになりました。

オーストラリア内務省によると、eRxの全国処方箋配布サービスは、今回のメディセキュアのインシデントによる影響を受けておらず、顧客は、医薬品に安全にアクセスでき、医療提供者も通常通り、処方・調剤できるとしています。国家サイバーセキュリティコーディネーターが、オーストラリア連邦政府の関係省庁や州・準州と協働しながら、政府全体として、今回のインシデント対応に当たっていると説明しています。

また、オーストラリア内務省によると、インシデントの影響を受けたのは、2023年11月までメディセキュアのシステムにより配布された処方箋に関連するデータです。現在、技術およびフォレンジック調査が進行中で、調査プロセスに応じて、更新情報を提供するとしています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・日本国内でも電子処方箋制度がスタートしており、医療機関は、患者安全の観点から、医師による処方箋の電子化・発行から薬剤師による調剤・配布、服薬指導に至るまでの医薬品サプライチェーン全体を管理する必要がある。本事案のように、電子処方箋に関わるサードパーティベンダーおよびその外部委託先にセキュリティインシデントが発生した場合、患者・家族だけでなく、医薬品製造・卸、調剤薬局、規制当局など、様々なステークホルダーを念頭に置いたインシデント対応計画やリスクコミュニケーション体制を準備しておく必要がある。

医療機器メーカー／医療品メーカー

・処方箋が必要な医薬品・医療機器を製造・販売するメーカーは、電子処方箋に関わるサードパーティベンダーおよびその外部委託先にセキュリティインシデントが発生した場合、自社製品のサプライチェーンに直接的・間接的な影響が及ぶ可能性がある。現行の事業継続管理やリスクコミュニケーションの体制に問題がないかなど点検しておく必要がある。

サプライヤー

・医療機関や医療機器メーカー／医療品メーカー向けにICT製品・サービスを提供するサプライヤーは、電子処方箋に関わるサードパーティベンダーおよびその外部委託先にセキュリティインシデントが発生した場合、直接自社のシステムと連携していなくても、業務プロセスに影響が及ぶ可能性がある。現行の事業継続管理やリスクコミュニケーションの体制下で対応できるかどうか点検しておく必要がある。

関連記事 [外部サイト]

• The Department of Home Affairs「MediSecure cyber security incident」（2024年5月18日更新）
  
• MediSecure「Cyber security incident/data breach」（2024年5月18日更新）
  
• The Department of Health and Aged Care「Connecting to the National Prescription Delivery Service」（2023年5月30日）

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

執筆者

笹原 英司／Eiji Sasahara
デロイト トーマツ サイバー合同会社　シニアマネジャー

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事