雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
ランサムウェアギャング「LockBit」が病院に復号鍵を無償提供
【セキュリティ事件簿#2023-045】国土交通省 個人情報の流出の可能性に関するお詫びとお知らせ 2023年1月13日
九州地方整備局 山国川河川事務所が発注した事業損失事後調査業務(受注者:東亜建設技術(株))において、受注者の業務従事者が発注者から貸与された調査に必要な個人情報が含まれた資料を紛失する事案が発生しました。
紛失した資料には、個人2名の住所及び氏名等並びに個人17名の氏名等が記載されています。
関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。
○事案の内容
令和5年1月17日(火)に事業損失事後調査業務受注者の業務従事者が、現地調査を実施中に発注者から貸与された個人情報が含まれた資料を紛失し、同日に遺失物として最寄りの警察に届出られたものです。
○ 対応状況
同資料に個人情報の記載のある方に対しては、事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点におきましては、個人情報等の第三者への流出、不正利用等の事実、二次被害は確認されておりません。
○ 今後の対応
九州地方整備局においては、同様の事案の再発防止に取り組んでいる中で発生したことを重く受け止め、更なる個人情報等の管理の徹底に関して、受注者への指導に迅速かつ万全を期してまいります。
【セキュリティ事件簿#2023-044】岩手医科大学附属病院 個人情報を保存したUSBメモリの紛失について 2023年2月2日
【セキュリティ事件簿#2023-043】株式会社エフエム東京 「ショッピングサイト」不正ログインに関するお詫びとご報告 2023年1月18日
【メール例】---------------------------------------------再支払いのお願いこのたびはTOKYO FM公式ショッピングサイトでお買い物いただき、ありがとうございました。下記、ご注文において、与信エラーにより決済が正常に完了していないことが判明いたしました。それに伴い、再度のお支払いをお願いいたします。既に引き落としされている場合に関しましては自動でキャンセル扱いになり請求されませんのでご安心ください。ご不便をおかけして申し訳ございません。[再決済ページに進む]ご注文内容注文ID:XXXXXXXXXXXXXXXX(以下注文情報がつづく)---------------------------------------------
【セキュリティ事件簿#2023-042】兵庫県立がんセンター 個人情報が含まれたUSBメモリの紛失に関する お詫びとご報告 2023年1月31日
電子カルテから保存した55名分の患者ID、氏名、治療実施日、病変の存在箇所、病変の進行度等のデータです。
USBメモリは、医師自身が管理しており、令和5年1月5日(木)に使用したことは確認しています。1月 13 日(金)に、USBメモリを使用しようとしたところ見当たらないことに気づきました。原則、院外へ持出しをしませんので、診療部、看護部等の関係者全員で1週間程度、当該医師の診察室内や関係病棟内等、あらゆるところを探しましたが見つからず、現在も発見に至っておりません。このため、1月 27 日(金)に明石警察署へ遺失届を提出いたしました。
USBメモリに医療情報が保存されていた可能性のある患者さんには、お詫びとご報告の文書を1月 27 日(金)に郵送させていただきました。また、電話もしくは対面でのご説明もさせていただいております。
電子カルテからデータを取込む場合は、システム管理室が貸出す暗号化されたUSBメモリを使用することとし、USBメモリの使用が終わった後は、データを消去し、システム管理室にUSBメモリを返却することにします。システム管理室は返却のあったUSBメモリのデータ消去を確認します。また、このような事態を重く受け止め、全職員に対し、今回の経緯を踏まえ、改めて個人情報の適正管理方法の周知徹底を図ります。
引き続きUSBメモリの捜索に尽力します。
【セキュリティ事件簿#2023-041】近畿大学病院 近畿大学病院で発生した診療情報の流出事案について 2023年2月2日
この度、近畿大学病院において、受付業務の委託先である株式会社エヌジェーシーの社員(当時、以下 元社員A)が、患者様1名の診療情報を故意に外部に流出させたことが発覚しました。
元社員Aは、業務中に友人である患者B氏が当院を受診したことを知り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電子カルテを表示したパソコン画面を動画で撮影し、共通の友人であるC氏にSNSを通じて送信しました。当院では、事態発覚後すみやかに調査チームを立ち上げて調査を行うとともに、この動画がすでに削除されていることを確認しております。
当該患者様及びその関係者の皆様には、ご迷惑、ご心配をお掛けしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、個人情報の取り扱いについてはこれまで以上に厳重に注意し、再発防止に努めてまいります。
1.事案の概要
令和4年(2022年)11月5日、受付業務委託先の元社員Aが、当院を受診した患者B氏の診療情報(氏名、生年月日、診察記録)記載の電子カルテを表示したパソコン画面を私用スマートフォンで動画撮影し、SNSを通じて友人C氏へ送信しました。元社員A、患者B氏、友人C氏はいずれも友人関係にあり、患者B氏が友人C氏から動画の存在を聞き、11月7日に当院に抗議されたことで事案が発覚しました。
その後、当院にてすみやかに調査チームを立ち上げ、調査を行ったところ、元社員Aが動画の撮影と友人C氏への送信を認めました。また、友人C氏が、送られてきた動画を友人D氏に見せていたこともわかりました。さらに、元社員Aが自身の家族1名と友人E氏に、友人C氏が友人F氏・G氏に、それぞれ患者B氏の受診について話をしたことも判明しました。
2.対応
令和4年(2022年)11月15日に、当院より患者B氏の代理人弁護士に対して、漏えいに関するお詫びと調査報告を行いました。
元社員Aと友人C氏が保持していた動画については、11月8日までに削除されたことを確認しています。また、動画を見せられたり、受診の話を聞いたりした方々には、本件を第三者に口外していないことを確認し、今後も情報を拡散しないことを約束していただきました。
株式会社エヌジェーシーに対しては、事案発覚後ただちに再発防止措置の遵守徹底を強く申し入れました。その後検討を行い、令和5年(2023年)3月31日当直勤務をもって業務委託契約を終了することといたしました。なお、元社員Aについては、11月7日付で株式会社エヌジェーシーを自主退職したという報告を受けています。
また、本件は個人情報漏えい案件として、文部科学省と個人情報保護委員会に報告しております。
3.再発防止策
今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります
①当院において、委託業者、派遣業者従業員等の業務に通信機器を必要としない者に対して業務従事中の通信機器の所持を禁止し、12月14日に通知しました。
②すべての委託先に対して、業務遂行にあたり個人情報保護に関する取扱い注意事項を徹底するよう、改めて申し入れました。(11月14日~11月16日)
③当院の全教職員を対象に、個人情報保護規程の遵守について改めて周知し研修を実施しました。(11月28日~12月26日)
④当院の全教職員に本事例を共有しました。今後さらに個人情報の取扱いに関する研修会を予定しています。