« 健康で長生きするための一番の大敵? | トップページ | テレビインタビューは顔出しが原則になる?! »

2014年6月13日 (金)

いまだ甘い医療現場のセキュリティー

最近では企業経由での個人情報流出事件も全く珍しいものではありませんが、カード使用が当たり前かつ訴訟社会と言うアメリカにおいては日本とは比較にならないほど社会的影響も大きいと言うことなのでしょうか、日本のように現場担当者が謝罪して終わりなどと言うレベルでは済まない時代になっているようです。

セキュリティー対策はコストではない 米国で起きた「ターゲットの悲劇」の教訓(2014年6月9日日経ビジネス)より抜粋

 日本の経営者は米国で起きた「ターゲットの悲劇」をご存じだろうか。米国でもハッカーなどによる個人情報流出などは毎日のように起きているから、関係者も交通事故のように受け止め、やや感覚が麻痺していた。ところが、「情報セキュリティーのリスクも、ここまできたか」と経営者を最も震え上がらせた事件、それが米小売大手ターゲットが巻き込まれた深刻な事件だ。

ハッカー攻撃が原因でトップ解任

 ターゲットと言っても、日本では馴染みがないかもしれないが、売り上げ規模が全米5位という大手流通企業だ。その著名企業のCEOが今年5月、取締役会によって解任された。2008年からCEOを務めていたグレッグ・スタインハーフェルがその人だ。
 ハッカーによる攻撃で膨大な顧客の個人情報が流出して巨額の損失を出したことと、情報開示が遅れたことが解任の理由だった。
(略)
 大手流通業ではコスト削減のため、各店舗の電力消費と室内温度を常時モニターしている。ターゲットの場合、ファジオ・メカニカル・サービスという空調会社にモニターを委託していた。そして、ターゲットはウェブサイトで取引会社の1社としてファジオの社名を公開していた。それが致命傷だった。結果的にハッカーに「ここから入って」と言わんばかりの余計な情報開示だった。
 ハッカーはまず、ファジオの従業員にマルウエアを仕込んだフィッシング・メールを送りつけた。ファジオのセキュリティーは脆弱だった。同社では企業向けのセキュリティーソフトは使わず、個人用のフリーソフトを使用していた。
 ハッカーはターゲットのネットワークへ侵入できる暗証番号を盗んで、マルウエアをターゲットのシステムに忍び込ませた。昨年11月15日のことだ。

 システムのセキュリティーを常時監視していたのは、米ファイア・アイのインド、バンガロールチームで、11月30日、ターゲットのミネアポリス本社のネットワークに何者かが侵入していると警告を発した
 12月2日、ファイア・アイは再びターゲットに警告を発している。ファイア・アイのセキュリティー・システムには、マルウエアを発見次第、自動的に除去するというオプションがあったが、ターゲットはその契約をしていなかった。だから、手動で除去することになったのだが、ターゲットはすぐに行動に移さなかった。ぐずぐずしているうちに顧客データはどんどん盗まれ、外部へ流出した。
(略)
 ターゲットはセキュリティー全般をトラストウェーブという一流のセキュリティー企業に委託していたが、事件が発覚した2013年12月までにターゲットのセキュリティーの水準を業界水準まで引き上げることができなかった。経費削減という経営側の方針があったからだ。こうして情報セキュリティー上の盲点は、何年も放置された。

 今回の事件は、経営判断のミス以外の何物でもない。ターゲットの蒙った損害額は、被害補償も含めて2013年第4四半期だけで2600万ドルに上り、そのうち保険でカバーされたのは800万ドルに過ぎない。2014年に入ってもハッカー被害の後遺症が大きく、株価、売り上げともに低迷している。事件発覚後、ターゲットは組織を一変したというが、遅すぎたようだ。
(略)
 情報セキュリティーは企業の存亡を左右する時代になった。例えば、「ハッカーの侵入の可能性がある」という警告が、直ちに措置すべき事態なのか、それほどではないのか、その緊急度のレベルを表す「共通言語」を関係部門が共有しておくことが急務だ。
 この「ターゲットの悲劇」は、米国の企業社会に大きな反省を迫った。これまでは、顧客情報の流出事件が起きても、責任を問われるのはせいぜい、チーフ・セキュリティー・オフィサー(最高セキュリティー責任者、CSO)どまりだった。ところが、ターゲットではCEOがクビになり、もはやセキュリティー問題は会社全体の問題となったことを印象付けた。高校生ハッカーが大企業のCEOをクビにできる時代になったということでもある。
(略)

しかし記事中にもあるように警報がどのレベルの緊急性を有するものなのかと言う共通認識の重要さは別にハッキングに限ったものではなく、いわゆるコードブルーなどのスタットコールに誰がどの程度急いで駆けつけるべきかと言う院内の共通認識にもつながる話だと思いますね。
ともあれこのターゲット事件、もちろんその損害額の大きさも大問題ではあるのですけれども、現代日本のネットセキュリティレベルを考えるとこのレベルの対応でこれだけの大騒ぎになると言うのは非常に怖い話であって、むしろもっと杜撰な管理体制のもとで日常的に顧客情報流出をさせてしまっている企業の方が一般的なのではないでしょうかね?
個人情報と言ってももちろん様々なレベルがあって、今の時代色々と物騒ですから住所氏名が知られるだけでもどんなトラブルに巻き込まれるかも知れないですけれども、やはり直接的に金銭が絡むような情報に関しては非常に厳格な管理が求められるのは言うまでもなく、以前に金融業界の方と話した際にも非常に厳重な管理をしているのだなと感心し安心した記憶があります。
ひるがえって医療業界を見てみるとこれが全くのザルと言ってもいい状態ですが、先日もこういう事件があったと言うことが小さく報じられていましたけれども、むしろこうした事件が発生したことを問題だと自ら危機感を覚え届け出たと言うだけでも称讚されるべきなのかも知れません。

研修医が患者情報をUSBメモリに無断コピーし紛失 - 都立広尾病院(2014年6月6日Security NEXT)

都立広尾病院の非常勤研修医が、患者2人の個人情報やCT画像などを保存した私物USBメモリを紛失していたことがわかった。

東京都病院経営本部の発表によれば、同研修医が5月30日の朝に出勤し、鞄からメモリを取り出そうとしたところ、紛失していることに気が付いたもの。自宅を出る際にUSBメモリを鞄に入れ、自転車で病院へ病院へ出勤しており、その間に紛失したという。自宅や通勤途中、研修医室など探したが見つからず、警察へ遺失物届を提出した。

所在不明となっているUSBメモリは研修医の私物で、患者2人の氏名、年齢、性別、検査画像などが保存されていた。病院の許可を得ずにデータをコピーしていたという。パスワードなどセキュリティ対策は講じられていなかった

同院では今回の紛失を受け、画像データ出力の際には匿名化を原則とする方針に切り替えた。また対象となる患者とその家族に対して説明を行い、謝罪したという。

ちなみに公平を期すために言っておくならば、個人情報を入れたUSBメモリの紛失と言った類の事件・事故は別に医療業界に限った話でもなんでもないのですが、やはり報道等を見ていても大きく取り上げられるのは医療関係と教育関係に集中している印象があることで、届け出のバイアスを除いても多人数の個人情報を扱う機会があり、家に持ち帰ってまで仕事をするほど多忙であると言うことを示しているのでしょうか。
この場合多くの医師が世間知らずで情報管理の重要性に全く疎いことに加えて、往々にして組織の情報管理者よりも情報利用者(医師)の権限の方が強くなりがちなことも決して無関係ではないと思うのですが、例えばセキュリティ強化のためにあれやこれやと規制を強化しても「そんなことで仕事が出来るか!」と現場の反発も強いだろうし、何よりそれをかいくぐる悪知恵も持っているのが医師の厄介さですよね。
とは言っても院内ネットワークにつながったPCで夜毎に怪しげなサイト巡りをして全く危機感を抱かないと言うのはいくら何でも問題ですし、そうした現状ではなおさら物理的にそれが可能な状況にしておいてはいけないのだと思いますけれども、そう考えると小さなUSBメモリの類は持ち歩くなと規制するのも難しく、さてどう対策したものかと悩ましいところだと思います。

データコピー完全禁止レベルの対策を講じるのであれば、最も簡単かつ手軽な方法として院内のPC全てのUSBポートを物理的に塞ぐと言う方法がありますけれども、病棟内でも個人向けデバイスを持ち歩くような時代に別にデータを持ち出す目的でなくてもUSB経由で接続する機会は少なくないでしょうし、その気になればPCを解体してでもつなごうとする輩は必ず出てくるはずですよね。
もちろんPCから情報を取り出す手段は色々とあって、お手軽なUSBばかりに目をやっていても仕方がないのかも知れませんが、やはり利用者数が多いことからしても対策の上位には来るべきもので、その点でうっかり無くすことへの危機感の差やいざとなった時の位置情報サービスなども考えると、実はUSBメモリよりも携帯電話でも使った方がまだしも紛失リスクの点ではマシなのかも知れません。
ただこれも昨今では携帯から情報をあの手この手で引き出そうとする輩も少なくないことですから程度問題であって、取りあえず出す側の対策として重要情報ならいつ誰に提供したか記録くらいはしておくべきだろうし、主たる利用先だろう学会にしろ論文にしろ個人情報保護に厳しいのは当たり前の時代ですから、記事にもあるように最初から個人情報を削除した状態でしか出力しないと言うのも有効なんじゃないかと思います。
原理的なことを言えば画面を見ながら書き写した手書きメモを落とした場合でも個人情報流出となるわけですし、以前にも裁判沙汰にもなったようにちょっとした関係者の一言が回り回って大騒ぎになると言うこともあり得るのですから、最終的にはやはり個人個人がどれだけ問題意識を持つかで、結局医師らスタッフの側がどれだけこうした医療情報を重要なものと考えているかですよね。

|

« 健康で長生きするための一番の大敵? | トップページ | テレビインタビューは顔出しが原則になる?! »

パソコン・インターネット」カテゴリの記事

コメント

コピーの時点で自動的に個人情報省いてくれたら便利でしょうね。
でもそんな面倒な機能組み込むより持ち出し禁止の通達一つ出すのが楽なんだろうな。
新しい電カルではこういうのどうなってんでしょうね?

投稿: ぽん太 | 2014年6月13日 (金) 09時09分

落としたデータがどこかで使われた形跡ってあるんだろうか?

投稿: amano | 2014年6月13日 (金) 09時56分

組織として無断持ち出し禁止と言うルールがあるとすると、企業等における機密情報持ち出しに準じた扱いを受ける可能性も否定出来ないので、そうした点でも意識改革は必要ではないかと言う気がします。

投稿: 管理人nobu | 2014年6月13日 (金) 10時46分

レントゲン写真が流出して困ることってあるんでしょうか?
素人がみても何もわからないし利用価値もなさそうな気がするのですが

投稿: てんてん | 2014年6月13日 (金) 12時13分

電子情報はひとたび流出すれば、どこかの誰かが思いがけない利用法を考えつく恐さがありますな

投稿: 元僻地勤務医 | 2014年6月13日 (金) 17時13分

封筒内のUSB、日本郵便北海道支社が紛失 1509人分の氏名、住所
http://www.hokkaido-np.co.jp/news/donai/545578.html
 日本郵便株式会社北海道支社が、有機農産物の専門農協「北海道有機農業協同組合」(札幌)
から郵便物として預かった封筒の中のUSBメモリーを紛失していたことが15日、分かった。
メモリーには同組合の顧客1509人分の氏名や住所などが保存されていたが、個人情報流出の被害は確認されていないという。

 日本郵便株式会社北海道支社は配達の過程で紛失したことは認めており
「迷惑をかけて誠に申し訳ない。引き続き全力で捜したい」としている。

 ただ、北海道有機農業協同組合も「個人情報をUSBメモリーにコピーして、
普通郵便で送ったのが間違いのもとだった」などとコメントし、
該当する顧客に文書で陳謝したことを明らかにした

投稿: | 2014年6月16日 (月) 22時20分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/519753/59802244

この記事へのトラックバック一覧です: いまだ甘い医療現場のセキュリティー:

« 健康で長生きするための一番の大敵? | トップページ | テレビインタビューは顔出しが原則になる?! »