米国の臨床検査企業がランサムウェア攻撃による247万人分の情報漏えいを公表 ブックマークが追加されました
最新動向/市場予測
米国の臨床検査企業がランサムウェア攻撃による247万人分の情報漏えいを公表
【第182号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年5月30日、米国ニューヨーク州ファーミングデールを拠点とする臨床検査企業エンゾ・バイオケム・インク(Enzo Biochem, Inc.)(NYSE上場)は、米国証券取引委員会(SEC)に提出したFORM 8-K臨時報告書の中で、同社の情報システムに対するランサムウェア攻撃に関する情報を公表しました。
第182号 2023.6.21公開
エンゾは、米国食品医薬品局(FDA)より、新型コロナウイルス感染症(COVID-19)向け検査キットに関連して緊急使用許可(EUA)を受けるなど、コロナ禍の中でも、活発な臨床開発活動を行ってきた企業です。
エンゾの臨時報告書によると、2023年4月6日、同社の特定の情報システムに影響を及ぼすようなランサムウェア攻撃を経験したとしています。インシデント対応策として、該当するシステムのインターネットからの分離などの封じ込め策を実行し、サードパーティのサイバーセキュリティ専門家からの支援を受けて調査を開始するとともに、法執行措置を通知しました。エンゾは、災害復旧計画を遵守して、インシデント対応プロセスの間、業務を維持しており、同社の施設は、患者およびパートナーへのサービス提供を継続中だとしています。
その後2023年4月11日になって、エンゾは、名前、試験情報、社会保障番号など、特定のデータへのアクセスがあったこと、また場合によっては、今回のインシデントの一部として、同社の情報システムからデータが抽出されたことを公表しました。今回の件に関する調査とその影響に関する評価は継続中だとしています。
個人情報保護に関連してエンゾは、約2,470,000人分の不正なアクセスまたは臨床試験情報の収集があったことを確認しました。このうち約600,000人については、社会保障番号が含まれていました。同社の従業員の情報が含まれているか否かについては、評価中だとしています。今後エンゾは、情報が含まれている可能性がある個人に通知するとともに、適用法令に応じて、規制当局にも通知するとしています
最後にエンゾの臨時報告書では、今回の件への対応、救済、調査の費用など、特定の経費が発生しており、今後も出費が続くとしています。前述の通り、企業のネットワークからアクセスまたは抽出されたデータの結果として、リスクや不確実性が左右される可能性があるとしている。加えて、セキュリティおよびプライバシーインシデントにより、規制上の精査が行われ、さらに継続する可能性があるとしています。全体的な費用および今回のインシデントに関連する影響については、評価中としています。
なお過去にエンゾは、子会社のエンゾ・クリニカル・ラボラトリーズとともに、米国連邦検事およびニューヨーク州検事より、連邦不正請求防止法およびニューヨーク州不正請求防止法違反で総額約350万米ドルの支払を命じられたことがあります。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・医療機関の外部委託先の臨床検査企業から患者情報が流出する事案が続出している。外部窓口を担う臨床検査部門は、患者/消費者に対する一義的責任を負うのが、医療機関であることを強く認識した上で、外部委託先に起因するサイバーインシデント発生時のインシデント対応・情報共有や事業継続管理に係るポリシーや手順を見直しておく必要がある。
医療機器メーカー/医療品メーカー
・医療機関の臨床検査データを利用して業務を行う医療機器メーカー/医療品メーカーは、直接契約関係にないサードパーティの臨床検査企業でサイバーインシデントが発生した場合、今回の事例などを参考にしながら、プライバシー/サイバーセキュリティに関するリスクや、自社の業務プロセスに影響を及ぼす可能性に関して評価を実施し、インシデント対応・情報共有や事業継続管理において医療機関との連携が必要な部分があれば、積極的に相互間のコミュニケーション活動を強化する必要がある。
サプライヤー
・医療機関向けに医療情報関連製品・サービスを提供するサプライヤーは、臨床検査部門の外部委託先で発生したサイバーインシデントの影響により、臨床検査部門以外の業務プロセスに直接的/間接的な影響が及ぶケースがあることを認識した上で、サプライチェーンリスクマネジメントの観点から、インシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について再点検し、リスク低減に努めておく必要がある。
関連記事 [外部サイト]
- Enzo Biochem, Inc.「FORM 8-K CURRENT REPORT」(2023年5月30日)
- Enzo Biochem, Inc.「ENZO BIOCHEM RECEIVES FDA EMERGENCY USE AUTHORIZATION FOR RAPID EXTRACTION METHOD ON PROPRIETARY TEST SYSTEM FOR DETECTION OF CORONAVIRUS SARS-CoV-2」(2021年7月20日)
- HHS Office of Inspector General「Enzo Biochem, Inc. And Enzo Clinical Laboratories Pay $3.5 Million To Resolve Civil Fraud Allegations」(2014年9月24日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
