最新動向/市場予測

米CHSがサイバー攻撃被害に関連する集団訴訟で和解

【第77号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年2月5日、米国テネシー州のナッシュビル・ビジネス・ジャーナル紙は、同州の大規模医療施設チェーンを経営するコミュニティ・ヘルス・システムズ(CHS)が、患者約450万人分の個人情報(氏名、住所、生年月日、電話番号、社会保障番号など)が流出したインシデントに関連する集団訴訟(クラスアクション)で和解したと伝えました。

第77号 2019.2.18公開

CHSは、インシデントを2014年7月に確認し、翌8月にシステムからのマルウェアの完全な駆除が完了したこと、同様の侵入に対抗する対策の実施を決めたことを、同月18日に証券取引委員会(SEC)宛に提出した報告書の中で公表していました 。インシデントの原因は、オープンソースのSSL/TLS実装ライブラリ「OpenSSL」の脆弱性「ハートブリード(Heartbleed)」を利用した外部からのマルウェア攻撃であり、CHSは、連邦法執行機関の捜査に協力するとともに、外部のフォレンジックサービス事業者に委託して内部調査を実施し、緊急対応業務に当たったとしています。

サイバー攻撃は2014年4月~6月に実行されていましたが、CHSが攻撃を受けたことを把握したのは7月でした。また、「OpenSSL」の脆弱性の存在に関しては、同年4月にセキュリティ会社が報告していましたが、医療施設側の対応が遅れていました。

これに対して、CHSの民事責任を追及する損害賠償請求の集団訴訟が全米各地で提起されていました。今回、報道された和解案によると、サイバー攻撃に起因するID詐欺または不正による被害を受けた請求者は一人当たり最大5,000米ドル、加えて自己負担費用や損失した時間を実証できる請求者は一人当たり最大250米ドルまで受け取れるとしています。今後、裁判所の承認を受けた上で、最終的に和解が成立する見込みです。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・汎用オープンソースソフトウェアの脆弱性を突いたセキュリティインシデントは、業種・業界の枠を越えて起きる可能性が高く、発生後の金銭的インパクトも大きい。医療機関の情報セキュリティ管理者は、組織の枠を越えた多層防御のエコシステム構築・運用を最終目標として、アクセスログ管理、緊急時対応訓練、従業員教育などの体制整備・を検討する必要がある。
 

医療品メーカー/医療機器メーカー

・サプライチェーンでつながる相手先の医療機関側は、重要インフラとしてのセキュリティ要求事項のレベルが高い反面、医薬品/医療機器メーカーと比較して、組織・人材、技術装備、予算規模など、個々の対策が後手に回っていることが多い。メーカーの情報セキュリティ管理者は、ポリシー策定、サイバーリスク評価など、対策の早期段階から、医療機関と連携する必要がある。
 

サプライヤー

・医療機関向けに製品・サービスを提供するサプライヤーは、サプライチェーンの中でセキュリティインシデントが発生した場合の災害復旧/事業継続管理を念頭に置いたうえで、委託先として要求される具体的なセキュリティ要件への対応を進める必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?