Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

文春が教えてくれる退職者管理

文春のスクープ記事で、東京女子医大からの内部情報漏洩事件が報じられていました。

bunshun.jp

 

■公式発表

 今般の患者情報に関する報道について(8月3日)

 

f:id:foxcafelate:20180805153234j:plain

 

 東京女子医科大学東医療センター(東京・荒川区)で、退職した医師が患者の個人情報を不正に持ち出していたことが、「週刊文春」の取材で明らかになった。

「神戸先生から突然連絡が来たのですが、なんで私の電話番号を知っているのですか?」

 同センターに患者からこんな問い合わせがあったのは今年3月。「神戸先生」とは、同センターに整形外科医として15年間勤務した神戸克明医師だ。昨年11月に退職し、この7月にリウマチクリニックを開院した。

 

「退職後の今年2月12日に、神戸氏が自身のID、パスワードでセンターのパソコンにログイン、二百数十件の電子カルテが閲覧されていた事実が確認されましたその日は建国記念日の振り替え休日。防犯カメラには、無人の整形外科・リウマチ科外来や医局に、神戸氏が暗証番号を入力して忍び込む様子も映っていた」(センター関係者)

(文春オンライン記事より引用)

 

◆キタきつねの所感

東京女子医大を2017年11月に退職し、7月2日からリウマチ専門医院を開業されているTV番組にもよく出演されていた先生が、2018年2月11日に退職した前の勤め先である「東京女子医大」に忍び込み、自分のIDとパスワードで不正にログインして、電子カルテを閲覧、整形外科・リウマチ科外来や医局にも忍び込んだ、という事件ですが、、、

 

東京女子医大8/3の公式発表を見ると、

 

この度、当院を退職した医師が、在籍中に担当していた患者様の個人情報(氏名、電話番号等)を、不正に持ち出したことが判明いたしました。

 

となっています。週間文春8月9日号の記事ですので、記事発売前の取材を受けて慌てて発表した、、、つまり東京女子医大側は事件に気づいてなかった事がよく分かります。

 

この事件、内部犯行に対するセキュリティを考える上では実に興味深い題材かも知れません。

まず大きなところでは、監視カメラでしょうか。文春記事によれば、監視カメラに不審者が映っていた事が確認できている訳ですが、休日の監視体制としては、、、警備対象外になっているのは内部犯行だけでなく、外部から不審者が窓を割って侵入した・・・などのケースであっても、大学側は気づかなかった可能性があるという事を示唆しています。(カメラ画像を監視の対象としてない・・・)

もしかすると、警備スタッフは監視カメラで『せんせい』を検知していたのかも知れません。白衣を着た先生、顔見知りという事でもあれば、休日出勤(正規業務)と勘違いした、という可能性もあります。

 

次に問題なのが、退職した職員が『暗証番号を入力』して入れてしまうIDゲートでしょうか。建物入り口の職員用ゲート(休日用?)は同じ暗証番号(共通パスワード)で、それなりに人の入れ替えがある大規模病院施設だと毎回変更するのが大変なのかな・・・とは推察しますが、

 

無人整形外科・リウマチ科外来や医局に、神戸氏が暗証番号を入力して忍び込む様子も映っていた」という記事内容から見えるのは、機微な個人情報を抱える医療機関としての「セキュリティ」意識に欠けた甘い管理体制です。

整形外科、リウマチ科外来、医局は、機微な情報を抱えるセキュリティゾーンと(一般的なセキュリティゾーニングの考え方では)見なすべきであり、そのハイセキュリティエリアへのIDゲートが共通鍵(暗証番号)であるという事は驚きでしかありません。

 

そして更に大きな問題が、退職者が発生しても、その共通鍵(暗証番号)を変えてない事

 

厳しい言い方をすれば、東京女子医大は、このセキュリティ運用設計を見直さないと、また内部漏洩事件、あるいは外部からの不正侵入を許してしまう可能性が高いと言えます。

 

ではどういった事が対策として考えられたのかと言えば、

第1に、毎回退職者が出る度に、暗証番号を可及的速やかに変えるべきだったと言えます。外側のIDゲートであればともかく、内側のIDゲートであれば対象者はそう多くないかと思いますので、退職者が出た後にすぐにIDゲートの暗証番号(共通鍵)を変える事は運用上の障害もなく出来たはずです。

暗証番号を変えるのは・・・という「せんせい」方や「内部職員」の方々のクレーム(暗証番号を覚えるのが面倒である・・)が出てしまう事も容易に推測できますが、本来はセキュリティを盾に押し切るべきです。

 

とは言え、暗証番号は「覚える」という問題があり、人の出入りが多い所では、頻繁に番号変更になる事に耐えられない可能性もあり、結局、暗証番号は変えない方が良い・・となってしまう事もあるかと思います。その場合、その運用現場では、暗証番号式のIDゲートを導入すべきではなかったのです。

 

そうしたケースでは、例えば、職員証のICカード機能(持ち物認証)でIDゲートで認証を構築すれば良いのです。夜間や休日は暗証番号と併用する(2要素認証)事も効果があるかと思います。

また、本当に休日で誰もそのゾーンに入れたくないのであれば、IDゲート自体をロックしてしまう(アンロックする為にには管理者キーが必要等な形で)事も有効であり、その手法であれば、この事件は防げた気がします。

 

余談になりますが、何故、著名な先生は2月に元職場に不正侵入したのでしょうか?(動機部分)退職の経緯は分かりませんが、文春記事によると3月に、

 

「神戸先生から突然連絡が来たのですが、なんで私の電話番号を知っているのですか?」

 同センターに患者からこんな問い合わせがあったのは今年3月

 

東京女子医大の患者から問い合わせが来た、つまり7月に開院する病院へ販促の電話をかける為であったと考えられます。よく美容室で美容師が転職する時に、顧客名簿を持ち出して事件や訴訟になっていますが、同じ背景事情ではないでしょうか。

不正に侵入した所も、整形外科、リウマチ科外来、医局、、、大体が元職場で密接に関わっていた部署であり(そうでないとアクセス権も付与されないでしょうし・・)リウマチの専門分野に近い部署と考えられます。つまり元自分の患者、あるいは自分のところに引っ張りたい患者のデータを(販促用に)確認していた、、と考えるとしっくりきます。

 

こちらの対策も、IDゲートの暗証番号と同じなのですが、退職者のITシステムへのアクセス権限がそもそも2月まで残っている(約3ヶ月)事自体が、東京女子医大の不手際と言えます。

 

回の事件は、退職者が出たらその権限は速やかに取り上げる、この原則を考えて運用設計をする事がいかに重要かと、文春が教えてくれた気がします。

 

「ありがとうセンテンス スプリング!」

 

 

悪い医者のイラスト

 

更新履歴

  • 2018年8月5日PM(予約投稿)