【セキュリティ事件簿#2024-057】足立東部病院 令和 5 年 12 月 4 日に発生いたしました不正アクセスにつきまして 2024/2/7

足立東部病院

この度、当院にて不正アクセスが確認されました。

PC 端末のアクセス以外、個人情報の漏洩は確認されておらず、また診察の影響もありません。

詳細は以下の通りです。

1.不正アクセス判明の経緯

資料作成のため、インターネット検索作業をしていた当院職員が、詐欺広告の誘導により遠隔で PC 内を操作されました。

内容を調査したところ、令和 5 年 12 月 4 日 14:06 から 14:22 に不正にアクセスされたログが残っており、当院職員および業務委託業者の更新作業はなかったことから、第三者による不正アクセスと判断しました。

2.不正アクセスがされた内容と対応

詐欺広告の誘導により、記載されている電話番号に電話をし、遠隔操作ソフトをインストールされ、PC 内を操作されました。

別途連絡を受けた当院 SE が、すぐに当該職員に電話を切り、ネットワーク遮断をするように指示致しましたが、結果として 16 分間遠隔操作をされてしまいました。

外部セキュリティ機関に相談しながら、遠隔ソフトのアンインストールと当該時刻のログをすべて調査致しました。

ログの調査は終了しており、外部への流出は認められませんでした。

3.病院運営及び個人情報への影響につきまして

医療情報システム(電子カルテ等)はインターネットから分離しており、診察への影響はございません。

当該 PC に、患者様の電子カルテの ID と氏名のみ記載されたエクセルファイルが保管されておりました。

院内ネットワークストレージ内に職員のマイナンバーカード通知書のコピーが 1 枚保管されておりました。

4.今後の対応

セキュリティ教育を教材にて、即日法人全体で実施し、令和 6 年 1 月に当院全職員にて、個人情報保護委員会研修を受講致しました。