最新動向/市場予測

マサチューセッツ州司法当局が患者情報漏えい発覚の大学病院に制裁金

【第68号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2018年9月20日、米国マサチューセッツ州の検事総長事務局(Office of the Attorney General)は、マサチューセッツの病院で、患者の個人保健情報約15,000件分の漏えい事案に関連して、総額230,000米ドルの制裁金を支払うことで和解したと発表しました。

第68号 2018.9.20公開

病院は、元従業員2人が詐欺目的で患者の保護対象保健情報(名前、住所、社会保障番号、臨床情報、医療保険情報などを含む)に不正アクセスしていた事実を把握していたにも関わらず、インシデントの調査を実施し、関係する従業員に対してアクションを起こすなどの措置を講じませんでした。このことが、消費者保護法、マサチューセッツ州データセキュリティ法、医療保険の相互運用性と説明責任に関する法律(HIPAA)違反に当たると、検事総長事務局は判断しています。

また病院側は、和解の一環として、従業員の身元確認を実施すること、適切な従業員の規律を保証すること、適切な患者情報の取扱に関する授業員のトレーニングを実施すること、従業員の患者情報へのアクセスを制限すること、潜在的なデータセキュリティに関する問題を特定し、低減すること、不適切な疑いのある患者情報へのアクセスを迅速に調査することで、検事総長事務局と同意したとしています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・内部関係者の不正行為に起因する個人データ漏えい事案に対しては、民事および刑事の両面から、管理監督する医療機関側の責任が問われるので、関係当局への告知、データ保全など、厳格なインシデント対応を行った上で、2次被害防止策を講じる必要がある。

製薬メーカー/医療機器メーカー

・患者情報漏えいが発覚した医療機関と共同で臨床試験を実施している製薬メーカー/医療機器メーカーは、インシデントが協力患者およびその臨床データの品質に及ぼすインパクトについて評価したうえで、医療機関や関係当局の対応に協力する必要がある。

サプライヤー

・患者情報漏えいが発覚した医療機関に情報システムを提供しているサプライヤーは、システムにおける責任分界点を明確化した上で、インシデントのインパクトを評価し、医療機関や関係当局と連携しながら、サイバーサプライチェーン・リスクマネジメントの要求事項に基づく対応を行う必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?