機器・記憶媒体の紛失・盗難
| 公表日 | 医療機関名 | 公式発表/報道 |
| 2024/04/11 | 愛知県医療療育総合センター | 印刷に利用した患者情報含む私物USBメモリが所在不明に – 愛知県 |
| 2024/08/02 | さいたま市民医療センター | 患者顔データを含むデジカメを紛失 – さいたま市民医療センター |
| 2024/08/15 | 公立富岡総合病院 | 患者の個人情報含むUSBメモリが所在不明に – 公立富岡総合病院 |
| 2024/08/27 | 沖縄県立精和病院 | USBメモリ紛失、内部に患者情報含む可能性 – 沖縄県立病院 |
| 2024/12/10 | 慶應義塾大学病院 | 医師が私物PCを盗難、内部に患者の個人情報 – 慶大病院 |
今回も定期的に機器や記憶媒体の紛失や盗難の事案が発生しています。
委託先を原因とした情報漏洩
| 公表日 | 事業者名 | 委託先 | 公式発表/報道 |
| 2024/05/24 | 茨城県 | ワークスタイルテック株式会社 | ワクチン接種会場の医療従事者情報が流出、外部サービス経由で – 茨城県 |
| 2024/06/13 | 大田区 | 株式会社イセトー | 大田区の委託先にランサムウェア攻撃、がん検診受診券の画像データが流出した可能性 |
| 2024/09/04 | クボタ健康保険組合 | 株式会社ヒロケイ | クボタ健康保険組合の再委託先のヒロケイにランサムウェア攻撃、16,022 人の診療データ漏えいの可能性 |
| 2024/10/15 | セキスイ健保組合 | 株式会社ヒロケイ | ヒロケイへのランサムウェア攻撃、セキスイ健保組合の個人情報が漏えいした可能性 |
医療機関の事案ではありませんが、2024年は医療情報や医療関連の個人情報が委託先から漏洩する事案が目立ちました。情報セキュリティ10大脅威(組織編)において「サプライチェーンの弱点を悪用した攻撃」が3年連続で2位にランクインしており、委託先を原因とした情報漏洩が脅威となっています。委託先を原因とした情報漏洩を防ぐためには、平時からの委託先管理と、有事の際のサプライチェーンを含めたインシデント対応体制の整備・対応が重要です。
その他原因による情報漏洩/情報漏洩の可能性
| 公表日 | 医療機関名 | 原因 | 公式発表/報道 |
| 2024/04/04 | 愛知医科大学 | データ誤送付 | 臨床研究で検査機関に個人情報を誤送付、すでに削除済み – 愛知医科大 |
| 2024/05/13 | 近畿大学病院 | 操作ミス | 胎児のエコー動画を別の妊婦に渡すミス 近大病院で個人情報漏えい |
| 2024/05/22 | 群馬大学医学部附属病院 | 誤公開 | 群馬大学の附属病院で個人情報漏えいか YouTube動画に電子カルテ画面が映り込む |
| 2024/05/24 | 仙台市立病院 | SNSの不適切使用 | 職員がインスタに患者のカルテ写真を投稿、約1カ月間外部から閲覧可能な状態に 仙台市立病院 |
| 2024/06/06 | 都立豊島病院 | 誤公開 | 申込用に公開した表計算ファイルに個人情報 – 都立豊島病院 |
| 2024/06/14 | 名古屋大学病院 | SNSの不適切使用 | 研修中の学生が電子カルテを撮影し投稿 名古屋大学病院が謝罪 |
| 2024/07/18 | かみいち総合病院 | データ誤送付 | かみいち総合病院で名前や病名など患者の個人情報漏えい |
| 2024/08/07 | 気仙沼市立病院 | 管理不徹底 | 個人情報消去しないままレジ売却 気仙沼市立病院 |
| 2024/09/24 | 鶴川記念病院 | FAX誤送信 | 個人情報の漏えいに関するご報告 |
| 2024/11/25 | 南生協病院 | 管理不徹底(機器廃棄) | データ消去が不十分なSSDを廃棄処分、認識不足で – 南生協病院 |
| 2024/12/03 | 大阪公立大学医学部附属病院 | 設定ミス | 表示されるべきでない患者一覧が閲覧可能に ~ 大阪公立大学医学部附属病院 |
メールの誤送信による情報漏洩は、宛先ミスやBccに書くべき宛先をToに書いてしまうというといった、単純なミスによるものは減少傾向にあるようです。一方で、メールの添付ファイルやクラウドストレージで送付したファイルに、削除漏れした不要なデータが含まれているというケースが増加しています。
また、電子カルテの情報をSNSに投稿してしまい漏洩するケースが複数件確認されたことは特徴的です。実際に発生した事例とともにSNSの利用に関する注意喚起を実施し、禁止事項であることを認識させることが重要です。
ドメインドロップキャッチ
| 公表日 | 医療機関名/事業者名 | 公式発表/報道 |
| 2024/04/16 | 厚生労働省 | 厚労省、新型コロナ相談窓口のドメイン、FX勧誘サイトに転用されていた |
| 2024/09/11 | 閉鎖病院(不明) | 閉鎖病院HPを再公開疑い ドメイン購入男性、書類送検 |
ドメインドロップキャッチも2024年に目立った攻撃でした。ドメインドロップキャッチとは、更新されずに失効したドメイン名が再登録可能になるタイミングで、そのドメイン名を登録する行為のことです。新たにドメイン名を登録した第三者によって、不適切なサイトに転用されたり、ドメイン名に紐づくアカウントに不正アクセスされたりといった、悪用の恐れがあります。ドメインドロップキャッチ自体は以前から存在する問題でしたが、2024年は医療分野であるかを問わず、様々な分野でニュースになりました。
業界団体である日本DNSオペレーターズグループは、ドメイン名の登録にあたっては、ドロップキャッチのリスクを理解し、ドメイン名を廃止する場合、サービスやサイトの「終活」が必要であると訴えています。
まとめ
2024年も、医療分野において様々なセキュリティインシデントが発生しました。ランサムウェアや不正アクセスといったサイバー攻撃による被害はもちろんのこと、内部不正、委託先を原因とした情報漏洩、人為的ミスによる情報漏洩など、多岐にわたる脅威が確認されました。
厚生労働省は、2023年からスタートした医療機関におけるサイバーセキュリティ対策チェックリストの取り組みを継続し、8月1日には事務連絡「医療機関等におけるサイバーセキュリティ対策の取組みについて」を通知するなど、基本的な対策の周知が行われています。また、各医療機関に対して直接サイバーセキュリティの確保を支援する「医療機関におけるサイバーセキュリティ確保事業」も始まる予定であり、セキュリティレベルの底上げが期待されます。
日本政府としては、サイバー攻撃を受ければ国家・国民の安全を損なう恐れのある基幹インフラ制度の対象分野に医療の追加を検討しており、能動的サイバー防御の防御対象に国立病院(民間病院も追加する方向で検討中)を加えることが報じられています。
省庁や政府による取り組みを強化するとともに、各組織においても、人的・組織的・技術的な多角的な対策を講じる必要があるでしょう。2025年は、医療分野全体のサイバーセキュリティレベルがより一層向上することが期待されます。
