最新動向/市場予測

米国ミシガン大学病院がフィッシング詐欺による患者情報侵害を公表

【第169号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2022年10月27日、米国ミシガン大学傘下の医療提供組織 (HDO) であるミシガンメディシンは、従業員の電子メールアカントがフィッシング詐欺に遭い、患者33,850人分の保健医療情報が流出した可能性があることを公表しました。

目次

第169号 2022.11.30公開

ミシガンメディシンは、総病床数1,107床の総合病院であり、従業員数24,761人、来院患者数2,640,967人(いずれも2022年時点)の規模となっています。

ミシガンメディシンによると、2022年8月15日から8月23日までの間、サイバー攻撃者から、ミシガンメディシン職員を標的にしたフィッシングメールが送信されました。ミシガンメディシンのログイン情報を入力させるよう設計されたWebページに、4人の職員がログイン情報を入力し、多要素認証を不適切に受けた結果、サイバー攻撃者が、同院の電子メールアカウントにアクセスできる状態になったとしています。

ミシガンメディシンは、2022年8月23日に電子メールアカウントが危険に晒されたことを確認し、直ちにアカウントを停止して、さらなるアクセスができないようにするとともに、パスワードの変更措置を実施しました。調査期間中、攻撃の目的が、侵害された電子メールアカウントからの患者の保健情報取得であると示すような証拠は確認できませんでしたが、データ盗難の可能性は排除できなかったとしています。

その後、1人もしくは複数の患者に関する機微データが潜在的に影響を受けたか否かを判断するためのレビューを実施し、10月17日に作業を完了しました。レビュー結果を受けて、10月19日から26日までの間、影響を受けた患者またはその代理人宛に通知文書を郵送したということです。

影響を受けた患者の電子メール/添付ファイルには、名前、医療記録番号、住所、生年月日、診断・診療情報、医療保険情報などの個人識別可能な患者情報が含まれていました。ただし、クレジットカード番号、デビットカード番号、銀行口座番号は含まれていなかったとしています。

ミシガンメディシンでは、従業員に対して、フィッシングメール訓練など、サイバー攻撃のリスクに対する認識向上のための教育やトレーニングを行っていました。今回のインシデントに関わった従業員は、これらの教育訓練を受けており、ミシガンメディシンのポリシーおよび手順に従って、懲戒処分の対象になるとしています。

なお米国の医療機関や医療保険者は、HIPAA/HITECH規則に従って、500人以上の個人に影響を及ぼした侵害通知の場合60日以内、500人未満の個人に影響を及ぼした侵害通知の場合暦年分を合算して年1回、保健福祉省長官に対して報告する義務があります。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の場合、セキュリティインシデントが発生した医療機関/保険者(CE=適用対象主体)やその外部委託先(BA=事業提携者)に対して、HIPAA/HITECH規則に従い、保健福祉省に通知する義務が課せられており、通知文書の内容やセキュリティインシデント対応手順に関するガイドライン類も整備されている。また、当局が報告を受けたインシデント情報は保健福祉省のWebサイトで公開されている。これに対して日本の場合、医療機関がインシデント対応計画や再発防止策を策定する際に活用できる公開情報が圧倒的に不足している。フィッシング詐欺やランサムウェア攻撃への対策を進める日本の医療機関は、米国内の医療施設向けセキュリティ啓発文書や支援ツール類を積極的に活用することを検討すべきである。
 

医療機器メーカー/医療品メーカー

・医療機関とネットワークを介してシステム連携するメーカーや卸売企業の従業員は、サプライチェーン攻撃を目的としたフィッシングメールの標的となる可能性があるので、サイバー攻撃のリスクに対する認識向上のための教育やトレーニングを強化して、サプライチェーン全体のリスク低減を図る必要がある。
 

サプライヤー

・医療機関向けに医療情報関連製品・サービスを提供するサプライヤーは、多要素認証をかいくぐったフィッシング詐欺が増加している現状を認識した上で、ユーザー向けのサイバー攻撃のリスクに対する認識向上のための教育やトレーニングを強化するとともに、インシデント対応計画における対応手順やリスク管理上の責任分担、予防的対策について再点検しておく必要がある。

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

目次

お役に立ちましたか?
メディア掲載記事(サイバーセキュリティ)

米国保健福祉省がセキュリティインシデント対応手順指針を公表

【第168号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース