全2736文字
PR

国内医療機関がサイバー被害を被るリスクが急速に高まっている。クラウド活用が進む半面、経営層や医療従事者の意識やリテラシーが低いままだからだ。サイバー被害が医療体制の逼迫に拍車をかけかねない。

 実際に攻撃に遭った一例が愛知県がんセンターだ。同センターは2021年9月8日、同年7月に不正アクセスに遭い、患者の病状などの要配慮個人情報を含む、延べ183人の患者情報が流出した可能性があると公表した。

 何者かが、同センターの職員が使う米マイクロソフトのクラウドサービス「Microsoft 365(旧:Office 365)」に不正アクセスした。医師1人のアカウントのパスワードを盗み、メールを閲覧。このメールの中に患者情報があった。

パスワード認証のみだった

 同センターは数年前から職員向けにMicrosoft 365のアカウントを発行し、メールや共有ドライブなどを利用できるようにしている。2021年7月13日、情報システム部門である医療情報管理部宛てに、医師Aから「送受信したはずのメールが見当たらないなどメールの調子がおかしい」と申し出があった。

 2021年7月15日には、ネットワーク委託業者の調査により、海外7カ国から医師Aのアカウントに2021年5月31日から7月14日まで不正アクセスがあったと分かった。

 不正に閲覧された可能性がある送受信メールには、パスワードがかかっていないファイルも添付されており、そこには延べ183人の患者情報が含まれていた。具体的には、「患者ID」「氏名」「性別」「生年月日」「転帰(生存または死亡)」「病状」などである。患者情報が含まれるメールの送受信は「ほとんどが院内関係者とのやりとり」(同センター担当者)という。

 愛知県がんセンターらが医師Aのパソコンを調査した結果、ウイルスなどの不正プログラムやフィッシングサイトへのアクセス記録は見つからず、パスワードが盗まれた原因は不明としている。ただ当時、同センターのルールでは、Microsoft 365のログインは2要素認証などを必要とせず、IDとパスワードだけでログインできる運用だった。

 また同センターの個人情報保護ルールでは、患者情報をメールなどでやりとりする際はファイルにパスワードをかけることになっていた。だが、医師Aはパスワードをかけていなかった。組織と人に脆弱性があったといえる。

 同センターは今後の対策として、Microsoft 365へのログインに多要素認証を導入した。職員の個人情報の扱いを徹底するほか、今後は個人情報保護や情報セキュリティーの外部専門家の協力を得て抜本的な対策を検討するとしている。