施行から 18 か月が経過したオーストラリアのデータ漏えい通知義務規則を振り返る
2019 年 7 月 30 日 Sylvain LeJeune 著
2018 年 2 月の施行以来、オーストラリアのデータ漏えい通知義務 (NDB:Notifiable Data Breaches)スキームは、非常に興味深い多くの結果をもたらしました。NDB は、オーストラリア情報委員会(OAIC:Office of the Australian Information Commissioner)によるこの法規則は、対象となるデータの漏えいを個人に通知することを義務付けるものです。
施行の 12 か月後に発表したレポートで、OAIC のコミッショナが、いくつかの興味深い事実を報告しています。その要点を以下に記載します。
12 か月間(2018 年 4 月 1 日~ 2019 年 3 月 31 日まで)に報告された 964 件のデータ侵害通知のうち、60% が不正行為によるもの、35% が人的ミスによるものだった。このことは、人的要因がサイバー侵害の防止と軽減のどちらにおいても「最弱リンク」であることを示している。興味深いことに、悪意ある攻撃において最も多い手口は、フィッシングとスピアフィッシングである。
同レポートは、サイバー攻撃の可能性や被害を最小限にするためのベストプラクティスとして次のようなものがあると結論付けています。
- 従業員向けの意識向上トレーニング
- 多要素認証(MFA)や暗号化を始めとする適切な IT セキュリティテクノロジに対する投資
- データ侵害の被害を軽減するための対応プランの策定
レポート全文は、以下の URL で参照できます。
https://www.oaic.gov.au/privacy/notifiable-data-breaches/notifiable-data-breaches-statistics/notifiable-data-breaches-scheme-12month-insights-report/#report-at-a-glance
業種という点では、医療分野がサイバー犯罪で最も多く標的とされる業種であり、金融、プロフェッショナルサービス、教育、小売といった他の分野を大きく引き離しています。不正取得された ID、フィッシング、マルウェア(ランサムウェアを含む)が、犯罪者が医療記録を盗む目的で悪用する、数ある攻撃ベクトルの上位に入っています。
それでは、医療分野でサイバー攻撃やデータ侵害が多く発生し、報告件数が多いの理由は何でしょうか?
医療機関を標的とする攻撃が成功すると、多くの利益を手にすることができます。医療保険契約の詳細(偽の保険請求や保険詐欺に必要な情報)が含まれているかどうかによって異なりますが、完全な医療レコードは、ダークウェブ市場で10 〜 100 ドルで取り引きされています。さらには、2018 年に国家が支援する犯罪者がシンガポールの首相や複数の大臣の医療レコードを盗んだ、SingHealth の情報漏えいでもわかるように、医療データを標的にすることで、重要人物の機密度の高い個人情報が手に入る可能性もあります。
https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth-patients-including-pm-lee-stolen-in-singapores-most
医療分野における主な攻撃ベクトルとしては、不正取得した認証情報(40%)、フィッシング(20%)、マルウェア、ランサムウェア(20%)などがあります。
これについては、2019 年第 1 四半期のレポート全文に、さらに詳しい情報が紹介されています。
https://www.oaic.gov.au/privacy/notifiable-data-breaches/notifiable-data-breaches-statistics/notifiable-data-breaches-quarterly-statistics-report-1-january-31-march-2019/#comparison-of-top-five-sectors-that-reported-data-breaches-in-the-quarter
メルボルンのカブリーニ病院の心臓病科に対する最近の攻撃では、15,000 件の医療ファイルがハッキングされ、法規制の対象となる機密医療データへのアクセスを手に入れた犯罪者の容赦ない攻撃の実態が明らかになりました。
https://www.theage.com.au/national/victoria/crime-syndicate-hacks-15-000-medical-files-at-cabrini-hospital-demands-ransom-20190220-p50z3c.html
この事件の最大の教訓は、サイバーセキュリティは IT 部門だけにとどまるものではなく、組織の全員がその重要性を認識し、予防に努める必要があるということです。医療機関の理事や経営陣にとって、これは最優先事項となるはずであり、彼らが先頭に立って、医療機関で働く関係者の意識や姿勢を変える必要があります。
さらに、医療分野における IT セキュリティにおいては、「人-プロセス-テクノロジ」の 3 つを正しく連携させ、運用することが、かつてないほど多く重要になっています。
- 十分な検討を経てデータ侵害の対応プランを策定し、適切な IT プロセスを整備して、定期的にパッチを適用し、データをバックアップする
- 従業員が「人間ファイアウォール」としての役割を果たすようにするためのトレーニングを実施し、データセキュリティと侵害を防止するためのポリシーと手順を導入する
- 既知あるいは未知の脅威の侵入を防ぐテクノロジを採用し、暗号化や ID 保護(MFA など)も併せて利用する
Sylvain Lejeune