こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
北海道大学病院は7月24日、個人情報を含むUSBメモリの紛失について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】大学病院でガイドラインが守られておらず、個人情報が漏洩してしまったということです。組織をまたがってガイドラインが利用される場合の条件や、インシデントが起きてしまった際に当事者に対して取られるべき対応について説明します。
今回のインシデントは、USBメモリに保存された大学病院の患者情報が、行方不明になってしまったものです。原因として、大学病院のガイドラインに違反して、指定区域外に持ち出された上に、暗号化はされていなかったことが挙げられています。
対策として、学内各所を捜索するとともに、警察に遺失届を行っていますが、現時点で発見に至っていません。再発防止策として、電子媒体の管理の強化と徹底、セキュリティ講習会を実施、ガイドライン等に基づいて適正に管理することをあらためて注意喚起するということです。
組織間でそれぞれガイドラインを持っている場合は、委託元のガイドラインが優先されることが一般的です。
個人情報保護法の第22条では「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」との記載があります。それを受けて、Pマークの規格であるJIS Q 15001:2017では、委託先の監督の一環として、個人データの安全管理に関する事項について、委託契約書等で締結することが求められています。
また、ISO27001の管理策では、委託先管理の目的として「供給者関係における情報セキュリティ」と「供給者のサービス提供の管理」が挙げられています。その中でも「組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について、供給者と合意し、文書化する。」と定められています。
説明が長くなりましたが、委託元のガイドラインがセキュリティの要求事項に該当すると考えられますので、委託先と委託元のガイドラインについて合意して、委託契約書等で文書化することが求められることになります。
今回のインシデントでは、共同研究のために提供された患者の個人情報を所有する病院が委託元に該当しますが、双方で所有する個人情報の授受を行う場合、それぞれのガイドラインに各病院が合意する必要があると考えられます。
インシデントを発生させてしまった当事者に対しては、一定の条件で罰則が必要とされますが、速やかに報告されることが何よりも優先されます。
例えば、みなさんがインシデントを起こしてしまった際に、罰則が無条件で懲戒免職となっていたらどう感じますか?報告することをためらってしまうかもしれません。インシデントが発生した際に、何よりも優先されるべきは、『速やかな報告』です。仮に、速やかに報告されず、組織として適切な対応が取られないと、被害が拡大してしまう可能性があります。よって、罰則の規定は、悪意を持ってインシデントを発生させた際と、インシデントが速やかに報告されなかった場合に対して、行われるべきと考えられます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
