岡山県精神科医療センターから最大4万人分の個人情報が流出 医療機関はランサムウェアによる情報窃取に対策を
2024年6月11日、地方独立行政法人岡山県精神科医療センターの公式ウェブサイトに「患者情報等の流出について」のお知らせが公表されました。※1
これによると、前月19日に発生したランサムウェア攻撃により、県精神科医療センターの統合情報システムの共有フォルダに保存されていたデータが流出。最大約40,000人分の患者情報(氏名、住所、生年月日、病名 等)のほか、議事録等が流出した可能性があるとのことです。
岡山県警は本件について、不正アクセス禁止法違反容疑も視野に入れ捜査を行っています。なおシステム内の電子カルテの流出は今のところ確認されていませんが、捜査を続けるとのことです。※2
医療機関の機能停止は国民生活に重大な影響を与える可能性があるため、重要な社会インフラの一つとされています。さらに、患者の個人情報には氏名や生年月日などの基本情報に加え、病歴などの取扱いに配慮を要する情報も含まれています。したがって、医療機関はシステムの停止と情報窃取の両方に対して強固なサイバーセキュリティ対策を実施しなければなりません。
県精神科医療センターはこの事態を重く受け止め、被害拡大の防止に努めるとしています。
事件の経緯
県精神科医療センターが公表した先述の資料によると、事件の経緯は下記の通りです。
- 2024年5月19日(日) 総合情報システムダウン
- 2024年5月20日(月) 県警本部、厚生労働省、県に連絡、システム障害のプレス発表
- 2024年5月21日(火) サイバー攻撃が原因と特定し、公表
- 2024年5月22日(水) 個人情報保護委員会に報告
- 2024年6月7日(金) 県警本部にて個人情報の流出を確認
5月19日、県精神科医療センター及び東古松サンクト診療所の電子カルテを含む「総合情報システム」が障害が発生しました。
さらに翌20日、システム内に「暗号化させている。唯一の方法はここに連絡することだ」という英文メッセージと共にメールアドレスが記されているのが見付かったとのことです。なお、センターは指定されたアドレスに連絡せず、県警に被害届を提出しています。※3
この時点では情報流出の有無について不明でしたが、6月7日に県警本部から連絡を受け、患者情報の流出が確認されました。ダークウェブ上に総合情報システム内にある共有フォルダが抜き出されていたとのことです。フォルダ内には過去10年分の患者情報等の資料が保存されていました。なお、11日時点では、流出した個人情報が悪用された報告はないとのことです。※2 ※4
被害が公表された翌日の12日午後5時までに、センターが開設した専用の電話相談窓口に112件の問い合わせが寄せられています。※5
被害を受けた要因と今後の対策
被害の要因となったのは機器の更新を進めていなかったことだと考えられています。県精神科医療センターによると、被害を受けた前年の6月、自治体病院の全国組織からVPNの脆弱性に関する通知があり、センターが利用している機器もこれに該当すると判明、更新に向け業者と協議したが進展がなく、棚上げになっていたとのことです。センターの松本安治常務理事は「更新できていれば今回の被害は防げていたかもしれない」とコメントしています。※2
2024年3月に警察庁が公表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年におけるランサムウェア被害件数115件(有効回答のみ)の内、73件(全体の63%)が「VPN機器からの侵入」を感染経路としています。実際、2021年10月に発生した徳島県つるぎ町立半田病院へのランサムウェア攻撃は、Fortinet(フォーティネット)製の脆弱性のあるVPN機器が感染経路であると指摘されています。※6 ※7
このようなVPN機器の脆弱性を狙った攻撃に対策するには、VPN機器の認証・パスワードの見直しや最新パッチの適用、定期的なアップデートが必要になります。また、厚生労働省からは「医療情報システムの安全管理に関するガイドライン」が公表されており、医療情報システムの適切な運用・管理の指針が示されています。情報セキュリティに関する考え方も記載されているので、参考にするとよいでしょう。※8
県精神科医療センターは原因究明後、VPNを含めシステムを更新する方針とのことです。また、院内の情報システムのセキュリティ監査を定期的に実施し、情報の暗号化を進めるなどの対策を講じるとしています。※2 ※9
情報漏洩には暗号化が有効な対策となる
ランサムウェアなどのサイバー攻撃による情報窃取、ダークウェブへの公開などに有効な対策がデータ暗号化です。要配慮個人情報等の機密情報を、あらかじめ暗号化し保存することによって、仮にサイバー攻撃を受けて情報が抜き取られても、流出先ではデータを利用することができず、情報漏洩を防ぐことができます。
2022年4月に全面施行された改正個人情報保護法では、漏えい等が発生した際の個人情報保護委員会への報告、本人への通知を義務付けています。しかし、「個人情報の保護に関する法律についてのガイドライン(通則編)」 には、下記の記述があります。※10
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
「個人情報の保護に関する法律についてのガイドライン(通則編)『3-5-3-1 報告対象となる事態』」より一部抜粋
このように、万が一漏えい等が発生した場合でも、高度な暗号化でデータを保護していれば報告義務が免除されることが記載されています。
重要データを暗号化することが、サイバー攻撃による情報窃取への有効な対策になると言えるでしょう。
DataClasysで高度な暗号化による漏洩対策を実現
弊社の『DataClasys(データクレシス)』は高度な暗号化を実現するIRM(Information Rights Manegement)システムです。暗号化と権限制御により強固なファイル保護と、パスワードに頼らない柔軟な運用性を実現しています。
ご興味のある方は是非下記よりお気軽にお問い合わせ下さい。
参考
※1 患者情報等の流出について | 地方独立行政法人岡山県精神科医療センター 2024年6月11日
※2 県精神科センター 患者の情報流出 最大4万人分、サイバー攻撃 | 山陽新聞デジタル 2024年6月11日
※3 岡山県精神科医療センターにサイバー攻撃…最大4万人分の個人情報流出の可能性 | 讀賣新聞オンライン 2024年6月11日
※4 岡山県精神科医療センターにランサムウェアとみられるサイバー攻撃 患者の病名など個人情報最大で約4万人分流出のおそれ | RSK山陽放送
※5 患者情報流出 問い合わせ112件 県精神科センター、専用電話設置 | 山陽新聞デジタル 2024年6月12日
※6 令和5年におけるサイバー空間をめぐる脅威の情勢等について | 警察庁 2024年3月14日
※7 ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題 | 日経クロステック 2022年6月13日
※8 医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)| 厚生労働省
※9 岡山県精神科医療センター サイバー攻撃で約4万人の情報流出か | NHK NEWS WEB 2024年6月11日
※10 個人情報の保護に関する法律についてのガイドライン(通則編)| 個人情報保護委員会 2016年11月(2022年9月一部改正)