事故から学ぶ

個人情報(臨床研究情報)の流出の可能性に関するおわび 国立がん研究センター東病院

事故概要

業種 行政の職員
発生時期 2022/1/26
漏えい人数 0
事故概要

この度、国立がん研究センター東病院が研究代表・研究事務局を務めている臨床研究において、被験者様の個人情報が流出した可能性のある事案が発生いたしました。

研究に参加してくださった被験者様及び関係者の皆様に多大な御心配・御迷惑をおかけしましたことを深くおわび申し上げます。内容及び対応については、以下のとおりです。

1. 概要
2022年1月26日、当院職員がテレワーク中、端末上にウイルス感染を伝えるポップアップが表示され、その指示に従ったため第三者により端末が乗っ取られました。専門業者による調査の結果、データファイルなどの情報流出はありませんでしたが、約30分程度の端末の乗っ取りの間に本研究に参加されている被験者様全4917例(2022年1月26日現在)のうち、端末に表示されていた被験者様の情報が閲覧された可能性があることが判明しました。

2.端末に表示されていた情報(閲覧が可能だった情報)
端末が乗っ取られていた約30分間は、被験者様の以下の情報が画面に表示されていました。

「被験者番号」、「生年月日(一部の被験者様)」、「がんの種類」、「検体の種類(血液など)」、「行った検査の名称」、「検査結果返却日」、「研究者の氏名及び所属機関名」

3.本事案発生後の対応
2022年1月26日、本事案の発生から約30分後、金銭の要求に対し職員は詐欺ではないかと疑い、すぐに端末のインターネット接続を遮断し、担当部署に報告しました。1月27日に厚生労働省にインシデント発生を連絡し、端末も回収しました。情報流出の有無を確認するため専門業者による調査(フォレンジック調査)を依頼し、2月20日に調査報告書が納品されました。調査の結果は、データファイル転送などの情報の流出は確認されないが、端末の画面上に表示されていた情報を閲覧された可能性があるという内容でした。

なお、現在のところ本事案による情報の不正使用の事実は確認、報告されておりません。

4.再発防止に向けた対応
今回発生したインシデントはサイバー攻撃やネット詐欺に対する知識と対応が備わっていれば防げた可能性が高いと考えております。当院では、再発防止に向けた対応として以下の3点を速やかに実施しました。

個人情報を含む研究ファイルが安全な保管場所に保存・暗号化されているか再確認しました。
職員が在宅で個人情報を含むファイルを扱う場合は、高度なセキュリティ対策が施された端末を用いることとし、多要素認証により接続し、データをダウンロードしないことを徹底しました。
職員全員に対して注意喚起するとともに、情報セキュリティ研修を再受講させ、知識と対応の認識を強化・徹底しました。

被験者様の善意の御協力により成り立つ臨床研究において、このような事案が発生しましたことを改めておわび申し上げます。また、本研究に御参加いただいております研究機関及び研究者の皆様に対しましても御迷惑をおかけすることになり大変申し訳ございませんでした。このような事案を繰り返すことがないよう、再発防止対策に徹底して取り組んでまいります。

引用元 国立がん研究センター東病院

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第21条)従業者の監督 作業ルールの徹底(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。