Ransomware attack at Singapore eye clinic potentially breaches 73,000 patients’ data
2021/08/27 DailySwig — シンガポールの眼科医院で発生したランサムウェア攻撃により、73,000人以上の患者の個人情報が流出した可能性がある。シンガポール保健省 (Ministry of Health) の発表によると、8月6日に Eye & Retina Surgeons (ERS) において、セキュリティ・インシデント発生したとのことだ。ERS は、警察だけではなく、Personal Data Protection Commission と Singapore Computer Emergency Response Team にも通知を行っている。なお、どれだけの個人情報が流出したのか、また、どのような種類のデータに不正アクセスが生じたのかについては、現時点では確認されていない。
シンガポール政府の対応
今回の事件を受けて、シンガポール政府は ERS に対して、同国の Federal Cybersecurity Agency と協力して緩和策を講じ、より強固なサイバー防御を実施するよう指示した。政府は、「シンガポールにおけるサイバー攻撃および、データへの不正アクセス、データとシステムの完全性/機密性/可用性を損なう行為を深刻に受け止めている」との声明を発表した。また、認可を受けている医療機関においては、医療記録を偶発的または違法なかたちでの、損失/変更/破壊/不正なアクセス/開示/複製/使用/変更から保護するために、適切な保護措置を講じる必要があるとする法律を引用している。
加えて、医療記録を取り扱う関係者が遵守していることを確認するために、実施されている保護措置が、有効であることを定期的に監視および評価することも求められている。さらに、今回の事件を受けて Ministry of Health は、認可を受けた全ての医療機関に対して、引き続き警戒を緩めず、サイバー・セキュリティの態勢を強化し、IT 資産/システム/患者データのセキュリティと完全性を確保するよう、注意を喚起している。
シンガポールの法律
2021年に制定されたシンガポールのデータ侵害通知法では、通知可能な侵害については、データ保護局に報告する定めとなっている。通知可能な侵害の定義だが、流出した情報が個人に重大な損害を与える場合、もしくは、500人以上の個人が対象となる場合となる。侵害を検知した組織は、遅くとも3日以内に、サイバー・セキュリティ委員会に通知する義務がある。違反に対する罰則としては、組織の年間売上高の 10% または SGD 1 million ($742,000) のいずれかの、高額な方の罰金が科される可能性がある。
この記事は、なぜ眼科なんだろうと、興味が湧いてきたので訳してみました。影響を受ける患者の数も、73,000人と少なめです。その他のヘルスケア関連のインシデントは、もっと大規模です。ひょっとして、虹彩データなどが盗まれていたとすると、かなり怖い話になります。
IoT OT Security News 