サイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2014年3月24日号 (第171号)

2014年3月14日~2014年3月20日

 本号では、医療機関からの患者情報・データ流出が4件報告されています。本号に限らず、以前より医療機関における患者情報紛失や流出の報道が続いています。患者情報には病歴データなど機微情報が含まれています。医療機関や医療関係者においては、患者情報の適切な取り扱いと外部流出防止策の検討が必要と思われます。
 MBSDでは、 【セキュリティ診断サービス】でウェブサイトの改ざんや不正アクセスの耐性評価を【セキュリティコンサルティングサービス】で包括的な情報管理体制の構築を、【セキュリティ監視サービス】で不正行為や情報流出を24時間365日監視し、情報流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを支援いたします。


…妨害 …侵入・感染 …改ざん・破壊 …情報流出・紛失

2014年3月14日

情報流出・紛失
某医科大学は、患者115名のデータが添付されたメールを誤送信したと発表した。同大学院生が患者情報ファイルを誤ってメール添付して送信し、外部に情報流出させてしまった。ファイルはexcel形式で、特定疾患の臨床データ、氏名、年齢、性別、検査日、喫煙歴などが記載されていた。

情報流出・紛失
某公益団体は、地方事務所において自動車検査に関する申請書類を紛失したと発表した。紛失したのは23地方事務所に保管していた72,388件の書類で、誤廃棄したものとしている。

2014年3月15日

情報流出・紛失
某大学付属病院は、元入院患者約30名の情報を紛失したと発表した。同附属病院の医師が、学会で発表する研究データを取り纏めるために使用していた私物USBメモリを紛失した。

2014年3月17日

情報流出・紛失
某銀行は、顧客情報が記載された内部資料を紛失したと発表した。外回り中の行員が紛失したもので、顧客約50名の氏名、住所、年齢、預かり資産額などが記載されていた。

2014年3月18日

侵入・感染 情報流出・紛失
某医療製品関連会社は、会員専用のウェブサイトが不正アクセスを受け、登録情報が閲覧された恐れがあると発表した。同社は外部からの不正アクセスの痕跡を発見し、ウェブサイトを管理している業者に調査を依頼した。調査の結果、不正アクセスは外国のIPアドレスからで、SQLプログラムの脆弱性を突いたものだった。5,041件の顧客氏名、所属組織、住所、電話番号、メールアドレス、ログインパスワードが不正閲覧されていた可能性がある。同社は専門会社の助言を受けて対応に当たっている。

情報流出・紛失
某学術団体は、会員情報が記載されたリストを紛失したと発表した。紛失したリストは同団体総会当日に登録確認に用いるもので、会員氏名、番号、所属施設、年会費払込状況など3,300件、51頁に渡っていた。総会運営を委託した業者が紛失した。

情報流出・紛失
某市労働組合は、組合員約500名のデータが外部流出したと発表した。データを入手した第三者から組合に対し買い取りを求める連絡があった。組合は買い取りを拒否し、恐喝未遂に該当する可能性があるとして警察に相談した。データは組合員の電話番号や金融機関の口座番号など。廃棄したPCに残存していたデータと思われる。PCは処理を依頼した業者が別の業者に譲渡し、ネットオークションに出品されていた。組合はデータ消去の確認をしていなかった。

2014年3月19日

情報流出・紛失
某県高等学校生徒の「進路カード」が所在不明になった。学級担任が保管していたが、校内を探しても見つかっていない。「進路カード」は生徒39名の氏名、住所、電話番号、生年月日、成績、模擬試験結果などが記載されていた。

侵入・感染
某鉄道会社は、運営するウェブサイトに大量のアクセスが確認されたため、ポイントカードの交換サービスを停止した。同社が調査したところ、約92万回以上のアクセス試行形跡が確認された。現時点で不正なポイント交換は検知されていないが、安全確認のため一部サービスを停止した。同社はサービス利用者に対し、パスワード変更を呼び掛けている。

2014年3月20日

侵入・感染
某新聞社のウェブサイトが不正アクセスを受け、改ざんされていたことが明らかになった。この改ざん被害により、利用者は海外を含め無関係な別サイトに強制誘導される状態にあった。現在は復旧しているが、同社は利用者のPCがウイルス感染している恐れがあるとして、注意を呼び掛けている。

情報流出・紛失
某大学附属病院は、医局員が患者データを保存した私物ノートPCを紛失したと発表した。院外で飲食中に紛失に気づいたという。私物PCには、学会発表のために作成した患者870名の氏名、診察券番号、生年月日、病気の進行度などのデータが保存されていた。患者データの取り扱いに関する同病院の内規では、匿名化、パスワード設定、管理責任者の承認が必要だったが、順守されていなかった。

情報流出・紛失
某地方自治体が運営する小児総合医療センターの協力会社従業員が、患者15名の手術予定表を紛失した。手術予定表には患者の氏名、年齢、性別、診療科、手術名などが記載されていた。



go事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ