個人情報漏えい=1件500円では済まない?米国の事例から検証する
2004年のYahoo! BBの個人情報漏えい事件の際に、日本においては「情報が漏えいを起こした企業は、個人に500円相当の現金・金券を支払う」という「お詫び相場」が形成されました。しかし、直近の海外事例を見る限り、1件当たりの情報漏えいの支払額が500円では到底済まないケースが出てきました。以下でご紹介します。
米国CHS社による情報漏えい事故
米国テネシー州フランクリンに本拠を置く「Community Health Systems社(以下、CHSと略)」は、Fortune 500に名を連ねる巨大な病院経営企業です。現在では会社分割により、企業規模が縮小されていますが、かつては救急医療施設の数で全米No.1を誇ったこともあります。2016年度の売り上げは184億ドル (2兆円)、従業員は12万人という規模で、日本ではこれほど巨大な病院経営企業はありません。
2014年8月18日に、CHSは「患者情報記録システムにハッカーが侵入し、450万件の患者情報が漏えいした」と発表しました。この450万人は、直近5年間のうちにCHSが運営する病院から紹介を受けた患者や、実際に治療を受けた患者数となります。そして、漏えいした情報には、患者の氏名、社会保障番号、住所、生年月日が含まれ、さらに一部の患者情報には電話番号と雇用企業名も含まれていました。
ウェブサイト Nashville Post によると、中国の犯罪グループにより2014年4月から6月までの間に複数回にわたり不正アクセスが行われ、不正アクセスを検知した後も利用するソフトウェアにパッチを当てていなかったとされています。
1件あたり最大で5000ドルの支払い
この訴訟はCHSと原告との間で和解に至りましたが、特徴的なのは情報漏えいの被害にあった患者を2つのグループに分け、損害賠償額を変えている点です。
まずは、情報漏えいによって個人的に費用を支払った患者は全て、最大250ドルまでの支払いを受けられるとされています。例えば、個人情報漏えい保護サービスなどを利用した場合がこれに該当します。
次に、個人情報が漏えいしたことによる盗難や詐欺を受けた患者は、最大5000ドルまでの支払いを受けるとされています。
この訴訟の和解条項に基づき、CHSが支払う金額の総額は310万ドル (3億4000万円) が上限として設定されています。これは、CHSのような大企業にとってはわずかな額といえますが、もし情報漏えいを起こしたのが中小の病院であれば「一発で廃業」するほどの巨額といえます。
日本の病院も他人事ではない
CHSの事故は、病院患者の情報が漏えいしたということもあり、「情報漏えいを起こしたとしても、500円相当の金券を配ればよい」という日本の常識では済まされなかった点は着目すべきです。
厚生労働省の統計によると、病院・診療所・歯科診療所を合わせた医療機関の総数は17万8000件程度ですが、このうち病床(ベッド)がある病院・診療所は9000件程度、他は病床がない医療機関となります。こうした医療機関の大半は規模が小さい、いわゆる「街のお医者さん」「街の歯医者さん」であり、情報セキュリティに精通するスタッフが勤務していない場合がほとんどです。
CHSのような、情報セキュリティ担当のスタッフを雇用する大企業経営による病院であっても、攻撃を防げなかったということは、中小の病院であればより攻撃を受けるリスクは高いと言えます。そして、病院の規模が大きくないため、専任のスタッフがいないだけでなく、セキュリティに関して書けられる費用も限られてきます。
このため、病院ならび診療所の院長は、日常業務で利用しているパソコン、システムそしてクラウドサービスのセキュリティをどのように多面的に高めるかを真剣に考える必要があります。
トラスト・ログインでクラウド利用時のパスワード対策を
いわゆる「情報セキュリティ対策」を行うには、数限りないリスク、そしてリスクに対応した製品を検討する必要があります。しかし、全てのリスクに対応するために高額な有償製品を導入するのでは、情報セキュリティ予算がいくらあっても足りないという状態になってしまいかねません。まず行うべきは、「利用するOSが基本機能として提供しているセキュリティ機能を使う」、そして「信頼できる企業が無料で提供している製品・機能を使う」です。
GMOインターネットグループの当社「GMOグローバルサイン」が提供するサービス「トラスト・ログイン」もその一つです。例えば、カルテサービスなどの病院向けクラウドサービスを利用している病院であれば、「自社でシステムを導入・物理サーバー管理を行わなくてもよい」というメリットがある反面、「システムを利用する際に都度インターネット経由でID・パスワードを入力する必要がある」というリスクもあります。そして、脆弱なパスワードでログインを行っている病院は、医療情報が不正にアクセスされる危険性が増します。
また、ID・パスワードを知っている医師や看護師が退職した場合、退職後に不正に情報にアクセスされる危険もあります。退職者の不正アクセスを防ぐために、都度パスワードを変更するのは大変な手間であるため、「院長先生や情報セキュリティ管理者以外には、パスワードを知らせずにシステムにアクセスさせ、退職したらすぐにアクセスできないようにする」という対策が理想になります。
トラスト・ログインは、こうした病院の悩みを解消し、安全なクラウドサービス利用を提供するためのサービスです。共有しているクラウドサービスのID・パスワードであっても、管理者以外に一切知らせることなく、各人の「トラスト・ログイン」用のパスワードだけ作っておくことで、クラウドサービスに対してワンクリックでアクセスすることが可能となります。これは単にセキュリティを向上するだけでなく、クラウドサービスを利用する医師や看護師の利便性を向上させることにつながります。
トラスト・ログインは、基本機能は無料で利用でき、有償オプションも1ユーザー100円から利用できるという非常に手軽なサービスです。ぜひ一度無料の基本機能をお試しいただき、必要に応じてオプションを追加してセキュリティを強化ください。