愛知県にある「藤田医科大学病院」がランサムウェアによるサイバー攻撃を受けて患者情報が漏えいしたというニュースが出ていました。
【ニュースの内容】
藤田医科大学病院がランサムウェアによるサイバー攻撃を受けて患者情報が漏洩した可能性があることがわかった。
看護師が自宅の私物PCで偽の警告画面にだまされ、遠隔操作を受けた結果、患者情報1365件(氏名・病名・検査データなど)が漏えいした可能性が判明した事件です。看護師は不正請求メールなどを受けて調査を依頼し発覚しました。病院は私物PCへの個人情報保存を禁じていましたが、規定が守られておらず、管理体制の不備が問題の核心とされています。現時点で不正利用の報告はなく、病院は患者への謝罪と相談窓口設置、再発防止のための研修強化を進めています。
これって、「ランサムウェア」じゃなくて「サポート詐欺」ですよね。
ランサムウェアはコンピュータやネットワークに感染し、データを暗号化してアクセスを制限し、復号のために身代金を要求する悪意のあるソフトウェアです。感染後、ユーザーはデータを元に戻すために金銭を支払うよう脅迫されます。
今回のケースはデータが暗号化されたわけでも、身代金が要求されたわけでもありません。
むしろ、警告画面を表示させて偽のサポートサイトに誘導し、遠隔ソフトをインストールさせているので「サポート詐欺」のように思います。
看護師本人は「ウイルスに感染した!なんとかしなきゃ!」とパニックになって遠隔ソフトを入れてしまったのでしょうが、そもそも「私物PCにデータを移せる状態だった」こと自体が今の時代ではあり得ないセキュリティレベルですよね
それにしても、私物のPCに患者さんの情報が1,365件も保存されていたのは信じられません。銀行口座やクレジットカード情報以上にセンシティブな「病名」「検査データ」が保管されていて、情報漏洩したなんて、病院として情報管理が全くできていないとしか言いようがありません。
たとえば大手の企業であれば、個人情報を含んだ情報は管理が厳しいフォルダに保存されていて、データの持ち出しができないように管理されています。また、データにアクセスした人間のログは残されていて、不自然な動きがあれば警告が表示されます。
今回のケースにおいては、ルールを破って私物PCにデータを保管した看護師の責任が一番重いですが、病院側の情報管理が適切であったかは、追及されるべきだと思います。
コメント
コメントを投稿