米フロリダ州の医療機関Broward Healthは、130万人を超える患者や職員に対し、個人情報が米国時間10月15日に発生したデータ侵害の影響を受けた可能性があると通知した。
Broward Healthの声明によると、侵害された情報には、氏名、住所、電話番号のほか、社会保障番号、銀行口座情報、病歴データも含まれている。
さらに、保険口座情報、運転免許証番号、電子メールアドレス、治療内容も含まれていたという。被害者への通知を数カ月先送りにしたのは、司法省(DOJ)から指示を受けたためだと説明している。
Broward Healthは、「侵入者は2021年10月15日、医療サービスを提供するために、このシステムへのアクセスを許可されているサードパーティー医療提供者のオフィスを介して、Broward Healthのネットワークに侵入した。われわれは10月19日に侵入を発見し、速やかにインシデントに対処して、米連邦捜査局(FBI)とDOJに通知した。また、全職員にパスワードのリセットを求め、独立したサイバーセキュリティ企業に調査を依頼した」と述べている。
「またBroward Healthは、何が影響を受けたのかを把握するために、経験豊富なデータレビューの専門家に広範なデータ分析を依頼した。その結果、一部の患者と職員の個人情報が影響を受けた可能性があることが分かった。DOJはBroward Healthに対して、法執行機関が行っている調査を妨げないよう、この通知をしばらく遅らせるように要請した」(同病院)
Broward Healthは、被害に巻き込まれた人数を明らかにしなかったものの、メイン州検事総長事務局に提出した書類には、135万7879人が影響を受けたと書かれている。
Broward Healthは、被害者にアイデンティティ情報の窃盗保護サービスを24カ月間提供するほか、システムの全ユーザーに多要素認証を導入し、「ネットワークにアクセスする、Broward Health Information Technologyが管理していないデバイスに対して、最低限のセキュリティ要件を設定した」という。
Broward Healthは提出書類の中で、個人情報が詐欺に利用されている形跡はないが、医療アイデンティティ盗難から自らを保護する対策を検討するよう推奨するとしている。医療アイデンティティ盗難は、盗んだ個人の名前や情報を悪用して、医療サービスを受けたり、医療サービスの不正請求が行われたりする場合に起こりうる。Broward Healthは、被害を受けた可能性がある人に、医療給付明細や金融口座に注意を払うよう呼び掛けている。
ThycoticCentrifyの最高セキュリティサイエンティストJoseph Carson氏は、医療サービスが極端に高額な国々は、サイバー犯罪者が個人のヘルスケア情報を盗んで利益を得るための、格好の標的になっていると述べた。
Carson氏によると、多くの場合、個人の医療情報は盗んだクレジットカード情報よりもはるかに価値がある。偽の医療請求、処方箋、アイデンティティなどで簡単に悪用できるためだ。ダークウェブで、500ドル(約5億8000万円)以上の高値で売買されることもあるという。
「個人の医療情報は、機密情報を公にされたくない人を狙った恐喝や脅迫、あるいは保険金請求や税還付にも悪用される可能性がある」と、Carson氏は述べた。
「あいにく医療記録の場合、病歴を変更することはできない。クレジットカードなら(情報を)変更して、すぐに正常に戻すことができるが、医療記録は1度盗まれたり、開示されたりすると、公知の情報になってしまう」(同氏)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。