PR

 愛知県がんセンターは2021年9月8日、職員が利用するクラウドサービス「Microsoft 365(旧:Office 365)」が不正アクセスを受け、患者の病状などの要配慮個人情報を含む、のべ183人の患者情報が流出した可能性があると発表した。医師1人のアカウントのパスワードが窃取され、メールが閲覧されていた可能性があるという。

 同センターでは数年前から職員向けにMicrosoft 365のアカウントを発行し、メールや共有ドライブなどを利用している。2021年7月13日に、医師Aから「送受信したはずのメールが見当たらないなどメールの調子がおかしい」と申し出があり、医療情報管理部が調査を開始した。医師Aは同14日にMicrosoft 365のパスワードを変更。同15日、ネットワーク委託業者の調査により、海外7カ国から医師Aのアカウントに2021年5月31日から7月14日まで不正アクセスがあったことが判明した。

 不正に閲覧された可能性がある送受信メールには、パスワードがかかっていない添付ファイルに、のべ183人の患者情報が含まれていた。具体的には「患者ID」「氏名」「性別」「生年月日」「転帰(生存または死亡)」「病状」などである。患者情報が含まれるメールの送受信は「ほとんどが院内関係者とのやりとり」(同センター担当者)という。

 同センターの個人情報保護ルールでは、患者情報をやりとりする際はファイルにパスワードをかけることになっていたが、医師Aはパスワードをかけていなかった。さらにMicrosoft 365はパスワードだけでログインできる運用だった。医師Aのパソコンを調査した結果、ウイルスなどの不正ブログラムやフィッシングサイトへのアクセス記録は見つからず、パスワードが窃取された原因は不明としている。

 同センターは対策として、Microsoft 365へのログインに多要素認証を導入した。職員の個人情報の扱いを徹底するほか、今後は個人情報保護や情報セキュリティーの外部専門家の協力を得て抜本的な対策を検討するとしている。