データ漏洩の医療機関に対して罰金

Security

シンガポールの病院が患者データを漏洩させて68000シンガポールドル(727万円)の罰金を科された話。(ソース

病院は被害者(のはず)ですが、患者側から見ると自分の医療データを漏洩した加害者の側面も持ちます。それに対してお上からの罰金が科されたとのこと。

概要

2021年10月にシンガポールの医療機関から15万人分以上の患者の個人情報(医療情報・財務情報を含む)が盗まれ、これがダークウェブで販売されていることが発覚した事件がありました。

で今回、このことに対し、医療機関側及びシステムベンダー側に対して68000シンガポールドル(2023/7/4 相場:1シンガポールドル=107円として日本円で727万6千円)の罰金が科されました。

どうやら医療機関とベンダーがクラウド上のサーバーで情報共有しており、その内容には本来不要なはずの患者情報が多数含まれていたとのこと。

教訓としては、

  • ベンダーが適切にデータ保護措置をしている場合でも、医療機関はさらに監督責任を問われる。
  • 医療データの価値は計り知れない為、事業者はシステムのセキュリティレビューを繰り返す必要がある

とのことです。

まとめ

電子カルテの暗号化によるランサムウェア犯罪の場合、データを暗号化する前にそれをコピーして盗み出しておくことにより、

  1. まずは、暗号化したデータを復号して欲しければ身代金を払えと要求する。
  2. 次に、盗んだデータを公開されたくなければ身代金を払えと要求する。

の2段階脅迫がしばしば行われます。

この2段階目の脅迫が実行されてデータが漏出すると、お上からは罰金が科されるという訳です。(シンガポールのお上の話ですけど)

あ、患者側への謝罪と賠償はさらに別の話ですからね。

  • データのバックアップを取っていなかった場合、ランサムウェア犯罪集団に身代金を払う(場合もある)
  • データ復旧などで専門業者に復旧料を支払う
  • お上に罰金を払う
  • 患者さんに謝罪する
  • 電子カルテが使えない間は医療収入は激減する

などなど、踏んだり蹴ったり。泣きっ面に蜂。

米イリノイ州では、スプリングバレーのSt. Margaret’s Health病院は2021年にサイバー攻撃を受けました。
この攻撃による14週間にも及ぶ休業が祟ってその後の経営が傾き、2023年6月に遂に倒産してしまいました。
これがサイバー攻撃による影響で倒産した初の病院として記録されたそうです。 (ソース
その結果、当該地域の救急医療や産科医療にその影響が出ているとのことです。

医療機関にとってはまさに受難の時代の到来です。

追記

(2023年11月10日 追記)

米ニューヨーク州のWindsong Radiology Groupの6つのオフィスを経営するUS Radiology Specialists Inc. に、45万ドルの罰金が課せられました。

Windsong Radiology's service provider fined over patient data breach
US Radiology Specialists Inc., which provides services for facilities including Windsong Radiology Group’s six offices i...

ハードウェアのアップグレードを怠り、ランサムウェア攻撃を受けて9万2千人分のデータを漏出させてしまったことによる罰金です。

コメント

タイトルとURLをコピーしました