この度、当院にて不正アクセスが確認されました。
PC 端末のアクセス以外、個人情報の漏洩は確認されておらず、また診察の影響もありません。
詳細は以下の通りです。
1.不正アクセス判明の経緯
資料作成のため、インターネット検索作業をしていた当院職員が、詐欺広告の誘導により遠隔で PC 内を操作されました。
内容を調査したところ、令和 5 年 12 月 4 日 14:06 から 14:22 に不正にアクセスされたログが残っており、当院職員および業務委託業者の更新作業はなかったことから、第三者による不正アクセスと判断しました。
2.不正アクセスがされた内容と対応
詐欺広告の誘導により、記載されている電話番号に電話をし、遠隔操作ソフトをインストールされ、PC 内を操作されました。
別途連絡を受けた当院 SE が、すぐに当該職員に電話を切り、ネットワーク遮断をするように指示致しましたが、結果として 16 分間遠隔操作をされてしまいました。
外部セキュリティ機関に相談しながら、遠隔ソフトのアンインストールと当該時刻のログをすべて調査致しました。
ログの調査は終了しており、外部への流出は認められませんでした。
3.病院運営及び個人情報への影響につきまして
医療情報システム(電子カルテ等)はインターネットから分離しており、診察への影響はございません。
当該 PC に、患者様の電子カルテの ID と氏名のみ記載されたエクセルファイルが保管されておりました。
院内ネットワークストレージ内に職員のマイナンバーカード通知書のコピーが 1 枚保管されておりました。
4.今後の対応
セキュリティ教育を教材にて、即日法人全体で実施し、令和 6 年 1 月に当院全職員にて、個人情報保護委員会研修を受講致しました。