・期間:2024年7月10日から14日の間に不正アクセスが発生
・漏えいの可能性がある情報:医療従事者73万3820人分の個人情報(氏名、性別、生年月日、メールアドレス、医療機関名、医療機関住所、役職、職種、診療科)
・原因:外部コンサルタントがITセキュリティポリシーに違反し、個人PCにデータベースアクセス用IDを保存、マルウェア感染により情報流出
本事件の最大の教訓は、外部委託先のセキュリティ管理の重要性です。システムへのアクセス権限を持つ外部関係者が、セキュリティポリシーに違反して個人PCを使用したことが事件の発端となりました。
医療DX業界では、個人情報や機密データを扱うケースが多いため、以下のような対策が不可欠です:
1.アクセス権限の厳格管理
・定期的なID・パスワードの変更
・多要素認証の導入
・最小権限の原則に基づくアクセス権限の付与
2.リアルタイムモニタリング
・アクセスログの常時監視
・異常な挙動の自動検知システムの導入
3.アクセス元の制限
・許可された端末からのみアクセスを許可
・VPNやセキュアゲートウェイの使用義務付け
4.外部委託先の監査
・定期的なセキュリティ監査の実施
・セキュリティトレーニングの義務付け
5.インシデント対応計画の整備
・緊急時の対応手順の明確化
・定期的な訓練の実施
この事件を機に、医療DX業界全体でセキュリティ意識の向上が期待されます。特に、外部委託を活用する企業は、委託先も含めた包括的なセキュリティ戦略の見直しが求められるでしょう。
また、規制当局も外部委託に関するガイドラインの強化を検討する可能性があります。医療機関や製薬会社は、こうした動向に注目しつつ、自社のセキュリティ体制の強化に取り組む必要があります。
医療DXの発展には、イノベーションとセキュリティのバランスが不可欠です。今回の事件を教訓に、業界全体でセキュリティ意識を高め、患者や医療従事者の信頼を守ることが重要です。
comments