最新動向/市場予測

米国パートナーズ・ヘルスケアが不正アクセス被害を公表

【第52号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2018年2月5日、米国マサチューセッツ州でブリガム・アンド・ウィメンズ病院、マサチューセッツ総合病院などを運営する非営利組織パートナーズ・ヘルスケアは、権限のない第三者による不正アクセスにより、患者の個人情報約2,600件分が影響を受けた可能性があることを公表しました。今回のマルウェアは、特にパートナーズの情報を標的として仕掛けられたものではなく、電子カルテシステムへのアクセスは確認されなかったとしています。

第52号 2018.2.5公開

疑いのある振る舞いは、2017年5月8日、パートナーズのモニタリングシステムにより発見され、直ちにマルウェアを遮断して第三者のフォレンジックコンサルタントを登用しました。パートナーズの調査によると、2017年5月8日~17日の間、影響を受けたコンピューター上でのユーザーの振る舞いにより、マルウェアが特定のデータへの不正アクセスを引き起こす可能性があったということです。影響を受けたコンピューターを特定した後、パートナーズは影響拡大の軽減対策を導入しました。

その後の継続的なレビューにより、2017年7月11日、データに個人の医療情報が含まれている可能性があることが判明しました。さらに2017年12月、手作業によるデータ分析が完了し、名前、サービス日および/または特定の臨床情報(例.手順のタイプ、診断および/または薬物治療)が含まれている可能性があることが判明しています。さらに、一部の患者については、社会保障番号と金融口座データが含まれていた可能性があるとしています。

医療保険の携帯性と責任に関する法律(HIPAA)の侵害通知規則では、500 人以上に影響を与える保護対象保健情報(PHI)侵害の場合、適用主体は原則として発見後60日内に保健福祉省(HHS)まで報告する義務がありますが、2018年2月8日時点で、パートナーズは今回の事案に関する報告書を提出していません。参考までに、2018年5月より適用開始となる欧州連合(EU)の一般データ保護規則(GDPR)では、個人データ侵害発見後72時間以内に各国規制当局まで報告する義務が生じます。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療機関がマルウェアに感染してから被害が表面化するまで長い時間を要するケースが増えているので、実際に感染するとどのような状態となるのか、攻撃者はどのような活動を行うのかをあらかじめ知った上で予防対策を講じる必要がある。

医療機器メーカー/製薬メーカー

・医療機関のITシステムとつながる機会のある医療機器/製薬メーカーは、接点となるIT部門やMRを保護するためにモニタリングを実施し、マルウェアを検知した場合、迅速に情報共有できる体制づくりをしておく必要がある。

サプライヤー

・HIPAA適用対象主体(CE:Covered Entity)となる医療施設の事業提携者(BA:Business Associate)としての要求事項や、NISTサイバーセキュリティフレームワーク1.1版に基づくサイバーサプライチェーン・リスクマネジメント(C-SCRM)の要求事項の観点から、マルウェア対策を講じる必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?