岡山大学病院は、同院医師が個人で利用していたクラウドサービスのアカウントがフィッシング攻撃により乗っ取られたことを明らかにした。クラウドには患者情報含むファイルが保存されているという。
同院によれば、7月23日に医師が、スマートフォンにおいて宅配事業者を装ったショートメッセージサービス(SMS)によるフィッシング、いわゆる「スミッシング」の被害に遭い、個人で利用するクラウドサービスのIDとパスワードを詐取されたもの。
被害に遭ったクラウドのアカウントには、同院や連携医療機関である福山市民病院で2015年4月以降に同医師が治療にあたった患者に関する個人情報のべ269人分が保存されていた。氏名や年齢、治療経過などの情報が含まれる。
同アカウントでは二要素認証も設定していたが、フィッシングにより第三者に乗っ取られ、同医師がアカウントにアクセスできなくなる一方、アカウントを乗っ取った第三者は、8月4日の時点でもデータを閲覧できる状態となっている。
被害の発覚を受け、クラウドサービス事業者に対して、医師よりフィッシング被害に遭ったアカウントの停止を求めたが、本人確認ができないなどとして対応を断られたという。
同院では、患者情報を扱う際、原則院内のパソコンを用いることとし、外部に持ち出す場合は、匿名化やパスワードを設定することなどを定めていた。
今回のケースでは、個人で使用する外部クラウド上へデータを保存しており、一部ファイルにしかパスワードが設定されていないなど、規則が守られていなかったという。
同院では、対象となる患者に書面と電話を通じて経緯の説明と謝罪を行っている。また今回の事態を受けて、所管する文部科学省へ報告したほか、警察に被害を相談している。