医療分野のセキュリティインシデント事例と傾向をお伝えする『医療分野のセキュリティニュース総まとめ』、2022年、2023年に続き、今回で3回目となりました。前回の記事では2024年の第一四半期分を含めてご紹介しましたので、今回は2024年の第二四半期から第四四半期の9ヶ月分をご紹介します。
ランサムウェア感染
| 発生日 | 医療機関名 | 公式発表/報道 |
| 2024/01/11 | QST病院 | 症例情報は匿名化処理済みのため患者の特定はできず ~ QST病院にランサムウェア攻撃 |
| 2024/05/19 | 岡山県精神科医療センター | 岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合 |
ランサムウェア感染については、公表されている事例のみで判断すると、2件と引き続き少ない件数で推移しています。米国では2023年は約400件のランサムウェア被害が報告されており、2024年も毎週のようにランサムウェア被害のニュースが確認できました。米国の状況と比較すると、日本では少ない件数に抑えられてはいるものの、「情報セキュリティ10大脅威(組織編)」では引き続き1位にランクインしており、依然として注意が必要です。
岡山県精神科医療センターの事案では、ダークウェブへの要配慮個人情報の漏洩まで確認されました。先日公開された調査報告書によると、原因は推測可能なID・PWの使用・使い回し、VPN装置の脆弱性の放置、管理者権限の安易な付与など、医療情報安全管理ガイドラインを遵守していれば十分に防げたものであったとされています。この調査報告書は、事案発生時の対応内容や、技術的・組織的・人的の各観点で具体的な対策手法が紹介されており、今後のサイバー攻撃の低減に役立つものとなっています。
サポート詐欺
| 発生日 | 医療機関名 | 公式発表/報道 |
| 2024/02/29 | 富田林病院 | サポート詐欺で患者情報含むPCが遠隔操作できる状態に – 富田林病院 |
| 2024/02/29 | 近畿大学病院 | 近畿大病院の産婦人科医、2000人分の患者データを無断持ち出し…個人情報漏えいの可能性 |
前回は被害の目立ったサポート詐欺でしたが、今回は件数としては減少しています。これは一定程度手口の周知が進んだことによる効果と考えられます。しかし、依然としてサポート詐欺の被害は継続しているため、引き続きの注意・手口の周知の取り組みが必要です。
不正アクセス
| 公表日 | 医療機関名 | 公式発表/報道 |
| 2024/06/24 | 印西総合病院 | 印西総合病院ウェブサイトが改ざん被害、本来とは異なるページが表示 |
| 2024/06/24 | 江藤病院 | ウェブサイトが改ざん被害 – 徳島県の病院 |
| 2024/07/02 | 秋田県立医療療育センター | 個人情報流出無し ~ 秋田県立医療療育センターウェブサイトが改ざん被害 |
| 2024/10/11 | 安佐市民病院 | 外部から院内の職員私物端末にアクセス、影響など調査 – 安佐市民病院 |
2024年6月から7月にかけて、ウェブサイトが不正アクセスされ、改ざんされる被害が立て続けに発生しました。不正アクセスの原因は明らかにされていないため、直接の原因かどうかは不明ですが、6月にはPHPの脆弱性(CVE-2024-4577)を悪用した攻撃が増加していたとされています。ウェブサイトの不正アクセス被害を防ぐためには、脆弱性を放置しないこと、そしてコンテンツ管理システム(CMS)の認証に推測可能なID・PWを使用しないことが重要です。
システム障害
| 発生日 | 医療機関名 | 原因 | 公式発表/報道 |
| 2024/07/04 | 山梨県立中央病院 | ハードディスク故障 | 山梨県立中央病院でシステム障害 復旧し5日は通常通りに診療 |
| 2024/09/12 | 富山大学附属病院 | 機器故障 | 富山大学附属病院 システム不具合で一部診療できず |
| 2024/12/08 | 那覇市立病院 | ネットワーク機器故障 | 那覇市立病院でシステム障害 救急外来を中止 解消めど立たず |
今回も複数の医療機関で、診療に影響が出るシステム障害が発生しています。前回は人的ミスを原因とする障害が数件ありましたが、今回は機器故障のみとなっています。
内部不正による情報漏洩
| 公表日 | 医療機関名 | 公式発表/報道 |
| 2024/05/01 | 市立四日市病院 | 電子カルテ不正に閲覧 電話や待ち伏せ 市立四日市病院の技師 |
| 2024/09/09 | 京都府右京区の診療所 | 看護師「自分の利益を図るためでない」 患者300人情報を転職先に漏えい、容疑で逮捕 |
| 2024/09/30 | 広島大学病院 | 元教授が患者情報を不正持出、開院案内などに利用 – 広大病院 |
| 2024/10/23 | 秋田大医学部附属病院 | 本学における懲戒案件について |
今回は不正に取得した情報を転職先に持ち込むケースが傾向としてみられます。退職時の顧客情報などの持ち出しに対しては、IPA(独立行政法人情報処理推進機構)が公開している「組織における内部不正防止ガイドライン」の以下の対策を実施することが重要です。
- (23)雇用終了の際の人事手続き
- (24)雇用終了及び契約終了による情報資産等の返却
- (26)誓約書の要請
