最新動向/市場予測

米国オレゴン州立病院でフィッシング攻撃被害が発覚

【第84号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年5月13日、米国のオレゴン保健医療局は、オレゴン州立病院で発覚したデータ侵害に関する通知を行ったことを公表しました。

第84号 2019.6.3公開

同月6日、オレゴン保健医療局とエンタープライズ・セキュリティオフィス・インシデント対応チームが、規制対象情報の侵害が発生したことを確認したとしています。オレゴン州立病院の職員宛に発信されたフィッシング攻撃メールを当該職員が開封して、資格情報が外部に露出したことが、インシデントの発端となりました。

オレゴン保健医療局によると、危険に晒された電子メールには、「医療保険の携行性と責任に関する法律(HIPAA)」の適用対象である患者の保護対象保健情報(PHI)が含まれており、氏名、生年月日、電子カルテ番号、診断、治療計画およびその他の患者治療用に提供された情報が含まれていた可能性があるとしています。保健医療局側は、電子メールシステムから患者の個人情報が複製されたり、不適正に利用されたりしたという事実は確認されていなかったものの、外部の第三者が保護対象保健情報にアクセス可能な状態にあったことから、外部通知に踏み切ったとしています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・このケースでは、個人データ保護規制の対象となる情報への外部アクセスが可能な状態になっていたことを把握した段階で、関係するステークホルダーへの通知を行っている。機微な個人データを取扱う医療機関は、緊急時のエスカレーション・マネジメントなど、事前のインシデント対応準備・訓練に注力しておくことが必要となる。
 

医療品メーカー/医療機器メーカー

・医療機関の情報システムとネットワーク接続して、個人データを利用する医療機器・医薬品メーカーは、医療機関の内部に起因するセキュリティインシデントが発覚した場合に備えて、それが自社のセキュリティ/プライバシー管理に及ぼすインパクトを評価し、責任分界点やリスク軽減策について検討しておく必要がある。
 

サプライヤー

・医療機関の情報システムに関わるサプライヤー/ベンダーは、サイバーサプライチェーン・リスクマネジメントの観点から、医療機関の内部に起因するセキュリティインシデントが発覚した場合の自社に及ぶインパクトを評価し、責任分界点やリスク軽減策について検討しておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?