ランサムウェア(身代金要求型不正プログラム)」の感染事例や、脆弱なシステムを狙った攻撃、個人情報流出に至るまで、医療機関はサイバー犯罪者の格好の標的になっています。病院や医療関連機関の個人情報流出に関する弊社のリサーチペーパーでも、金融関連の情報に並び、患者の重要な個人情報が、依然としてサイバー犯罪に最も利用されるリスクがあることを示しています。

米国プロリダ州を拠点とする医療関連機関「Southeast Eye Institute (Eye Associates of Pinellas)」は、第三者によってネットワークサーバ内の患者のファイルが未許可の第三者にアクセスされ、個人情報が流出したことを報告しました。このネットワークサーバは、医療業務を管理するソフトウェアを提供する企業「Bizmatics社」によって運営されていました。米国の「Department of Health and Human Services(HHS、保健社会福祉省)」の「Office for Civil Rights(OCR, 公民権局)」によると、この事例では87,314名分の患者情報が流出しと報じています。この医療関連企業を狙った攻撃は、2015年1月初旬には開始されたと見られており、2016年3月下旬まで発覚しませんでした。

この「Southeast Eye Institute」の場合、電子カルテ(Electronic Health Record、EHR)、業務管理、医療費支払いを処理するソフトウェアを請け負うサードパーティのBizmatics社で発生したハッキング事例の調査を契機に被害が発覚しました。そのハッキング事例が、同じくBizmatics社を利用していたアーカンソー州健康福祉ネットワーク医療機関「Pain Treatment Centers of America (PTCOA)」や「Interventional Surgery Institute (ISI)」で19,397名の患者の個人情報が流出した情報漏えいです。また、ネブラスカ州の医療関連機関「Complete Family Foot Care」では、5,883件医療記録が流出しました。

リサーチペーパー:「Dissecting Data Breaches and Debunking Myths(英語情報)

テキサス州ケイティ市の医療関連機関「Medical Colleagues of Texas, LLP」は、同機関のWebサイト上でサイバー犯罪者がコンピュータネットワークにアクセスし、患者および従業員の氏名や、住所、社会保障番号、健康保険などの情報を含む68,631件の記録が流出した可能性があると発表しました。

ニューメキシコ州サンファン郡では、連邦政府資金による薬物・アルコール依存症の治療プログラムに参加した12,000名の患者の氏名や、健康評価、服用中の薬、治療療法といった医療記録が漏えいしました。2016年3月には、フロリダ州の医療機関「21st Century Oncology Holdings」が、米国の145拠点、中南米およびメキシコの36拠点のがん治療センターから2百万人以上の患者の個人情報が流出したことを報告しました。

2015年2月には、歯科医院のコンピューター技術者およびセキュリティリサーチャーのJustin Shafer氏が、歯科業務管理ソフトウェア「Eaglesoft」のFTPサーバに保存されている患者の情報に誰にでも容易にアクセスできる方法があることを確認し、約22,000件の歯科患者の医療記録が情報流出の危険にさらされていたと報告しました。影響を受けた歯科医院は、カナダの「Timberlea Dental Clinic」や「Dr. M Stemalschu」、米国の「Massachusetts General Hospital Dental Group」、さらに米国とカナダを拠点とする「Patterson Dental」などです。

続きを読む:「Why is Healthcare an Ideal Target?(英語情報)

医療機関におけるセキュリティ対策の課題は、これらの事例によって十分示されています。医療機関には、個人情報、クレジットカード情報、治療記録といった情報が存在し、サイバー犯罪者にとっては「宝の山」のようなものです。個人情報や金融情報は、違法活動でこれらの情報を利用する犯罪者向けにアンダーグラウンド市場で販売することが可能であり、サイバー犯罪者は高い利益を期待できるからです。

事実、医療業界は、2015年に発生した個人情報の盗難、詐欺、その他の犯罪の発生件数が最も多い業界となっています。有名企業を狙った事例では、米国の医療関連企業「Anthem」での8,000万件以上の顧客情報流出や、医療保健機関「Premera Blue Cross」での1100万件の患者の銀行口座認証情報や診療情報の流出があげられます。米国公民権局は、2009年10月から2016年5月25日までに医療機関や医療組織が巻き込まれた情報流出事例数を1,567件と報告しています。

上述の医療関連機関「Southeast Eye Institute」では現在、専門家と協働してセキュリティ対策の強化に取り組んでおり、その一環として1年間無料の患者の個人情報保護やクレジットモニタリングサービスを提供しています。医療機関「Medical Colleagues of Texas」では、情報が流出した可能性がある患者への通知と1年無料のクレジットモニタリングサービスを提供し、遠隔でアクセスする電子カルテには二要素認証システムの導入も進めています。同様の取り組みは、上述のニューメキシコ州サンファン郡の関連機関で実施されており、個人情報漏えいの保険金として5万ドル(2016年6月7日時点、約5百38万5千円)の拠出が決定されました。