病院の情シスで働く医療情報技師の奮闘記

院内SEの、院内SEによる、院内SEのための総合情報ブログ。毎週更新、現場の「生」の情報をお届け!

院内SEによる情報発信ブログ。


病院にサイバー保険は必要なの?→入らないと後悔するかも…

※当ブログでは商品・サービスのリンク先にプロモーションを含みます。

 

 

病院のSEとして10年以上働いている@whitefox21seです。

▼Twitterで最新記事をツイートしてます。こちらもよろしくお願いします!

 

にわかに「サイバーテロ」が世間の関心を集めるようになりました。だれしも、一度は迷惑メールの類を受け取ったことがあるでしょう。最近では企業を狙った巧妙な犯罪も増加しており、サイバーテロはもはや他人事ではない脅威となっています。そこで注目されているのが、こうした犯罪への備えである「サイバー保険」です。

しかも、警戒すべきなのは外部からの攻撃ではなく「内部が原因」で起きるものです。

 

サイバーテロって、攻撃されなければ関係ないでしょ?

 

実は、最近問題化しているのは『悪意のない人』によるものなんです。

 

え? ひょっとしてうちにも関係あるのかな・・・

 

今回は、聞き慣れないこの「サイバー保険」について触れるとともに、病院でも導入が必要なのか考えることにします。

 

 

目次

 

◆読者へのお願い◆
院内SE(医療情報技師)の知名度向上を目指し、ブログを定期更新中!
読者の応援が心から励みになります。記事を読むたびに、「人気ブログランキング」または「にほんブログ村」ボタンのクリックをお願いします!
※クリックすると私に票が入ります。押すだけなら無料(笑)!情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m


システムエンジニアランキング

ブログランキング・にほんブログ村へにほんブログ村

 

サイバー保険とはなんぞや?

サイバー保険とは、一言で表現すると「損害賠償のための保険」です。サイバーテロによる被害はさまざまあり、賠償以外にも被害時の調査費用や訴訟時の弁護士費用なども含みますが、特に大きな被害に発展するのが個人情報の漏洩

被害を受けると関係者への謝罪や漏洩に伴う損害賠償、迷惑をかけたことへの見舞金など数々の対応を迫られることになります。

 

個人情報の漏洩は収拾をつけるのが難しい事故であることは、もはや説明不要でしょう。交通事故であれば実害が目に見えて分かりやすいですが、一度漏洩した情報は回収が不可能で、「覆水盆に返らず」状態となります。

 

大げさだなぁ。保険をかけるほどの金額にはならないでしょ?

 

と思う方は、侮るなかれ。

2014年に発生した、ベネッセ・コーポレーションの実例を見てみましょう。

 

ベネッセ・コーポレーションの情報漏洩事故とは

「ちゃれんじ」シリーズで有名なベネッセ・コーポレーションが、2014年6月に顧客から個人情報漏洩の疑いを持たれ、社内で調査した結果それを認めた事故。

公式サイトの説明によれば漏洩により実害を被った顧客は約2,895万件

凄まじい件数だったこともあり、世間に個人情報に対する関心が広まりました。

 

▼ベネッセ公式

事故の概要 | お客様本部について | ベネッセお客様本部

 

 

公式サイトによると、お詫びの品として500円の金券を送ったとあります。仮に対象がこの約2,895万件と推定すると・・・

 

2,895万件×500円≒144億円

 

の見舞金を支払ったことになります。途方も無い金額ですよね。

 

件数が件数なだけにこの額になったわけですが、病院が抱える情報は病歴や家族関係などを含むため、よりプライバシー性の高い性質を持ちます。訴訟問題にも発展しかねません。

 

こうしたリスクに対する保障を担うのが、サイバー保険となります。

 

サイバーテロのリスクを知りたい方は「セキュリティ事故が起こるといくら費用がかかるのか」について、特定非営利活動法人 日本ネットワークセキュリティ協会が先日、試算した資料を公開しました。

費用の内訳として、影響範囲の調査や原因分析、ハード・ソフトの復旧、弁護士への相談費、見舞金などなどの項目別に見積もりを出しています。

被害を受けたときには何をしなくてはならないのか、いくらかかるのかが学べる貴重な資料ですので、知識を深めたい方は一度読んでみることをオススメします。

scan.netsecurity.ne.jp

 

実は危ない「身内」

2020年末、コロナ禍において放送されたNHKのクローズアップ現代で、テレワーク環境を狙ったサイバーテロが急増しているとの報道がありました。コロナ禍でとっさにこしらえた環境であるためセキュリティ対策が甘く、そこを狙った犯罪が増えているとの内容でした。

 

www3.nhk.or.jp

 

サイバーテロなんて大企業が狙われるだけで、うちには関係ないよね

 

と思う方も多いでしょう。

たしかに、今まで狙われたのは大企業がほとんどで、中小企業の被害はあまり聞きません。

 

なぜ大企業が狙われるかと言えば、例えばランサムウェア(身代金要求型ウイルス)を使って、「いついつまでに身代金を支払わなければ、盗んだ個人情報をばら撒く」と言って金銭を要求できるからです。もしくは大量の顧客情報を盗み、闇社会に高値で売りさばくこともできるでしょう。

 

資産のある大企業が狙われる、というのは確かです。

 

▼サイバーテロに関しては、こちらの記事でも取り上げています。関心のある方は、併せてご覧ください。

whitefox21.hatenablog.com

 

しかし、それは「外部」から狙われる場合の話。

 

それと同じくらい脅威になっているのが、実は「身内」なんです。

 

それも内部犯行の意味ではなく、「善良な職員」が原因になるケースがあるのです。

 

そんなバカな・・・職員を疑えってこと?

 

疑うというよりも、善意でやったことが裏目に出る、と言う方が正しいですね。

 

インターネットの闇社会とは?「闇社会」なんて映画の世界でしょ?と思う方もいるでしょうが、残念なことに現実には存在します。むしろビジネスの場になっているくらいです。

techtarget.itmedia.co.jp


そこでどんなデータが売買されているのかは不明ですが、盗み出した個人情報や、企業データへの不正なアクセス権であろうことは想像できます。特に、その企業だけが知る機密情報などは需要がありそうです。

以前、ソフトバンクの元社員が楽天に転職して機密情報を漏らしたとの報道がありました。こうした事件が起こるくらい、企業の持つ情報は価値があるのです。特に大企業なら尚の事でしょう。

 

 

「善良な職員」こそ気を付けるべき理由

数年前、飲食店やコンビニのバイト店員が店内で過激な行為を行い、SNSに発信するという「バイトテロ」が問題になりました。

アイスを陳列した冷凍庫に体を入れたり、床に落ちた食材を鍋に戻したりなど度を越した悪ふざけだっただけに、記憶に残っている方も多いのではないでしょうか。

 

本人たちは、その場のノリで遊び半分でやっていたでしょうし、社会問題にまで発展するとは思ってもいなかったでしょう。

 

過激な動画をアップした理由の一つに、SNSの「24時間で消える機能」があります。先のバイトテロには、投稿後24時間で自動的に削除されるという、Instagramの「ストーリー」という機能が使われていました。

 

彼らの思惑には、「24時間で消えるから大丈夫だろう」という安易な考えがあったに違いありません。ところが、ネット上の動画はパソコンやスマホ本体に保存してしまえば、いくらでも再アップロードすることができます。

 

少しでもITリテラシーがあれば分かることですが、そんな知識もないままに安易な使い方をしたために、ここまで問題が大きくなったと言えます。

(注:バイトテロをやってもSNSにアップしなければ良い、という趣旨ではありません)

 

この事件が示唆するのは、ITリテラシーが欠如したままSNSを使うと、思いもよらない事故を起こしてしまうケースがあるということです。

 

例えば、LINEで業務連絡を取ったり、クラウドサービスを使って情報共有したりすることがありますね。2021年1月には、神奈川県内の病院で患者情報をGoogleグループで「誰でも見れる状態」で保存していたことがニュースになりました。

 

うーむ・・・確かに、こういう使い方はありがちだね

 

▼これについてはこちらの記事で詳しく紹介しましたので、併せてご覧ください。

whitefox21.hatenablog.com

 

業務の効率化や患者の利益を考えた行動だったでしょうが、リテラシーを欠く使い方をしていては、運転免許がないのに公道で車を走らせるようなもの。いつ事故を起こしてもおかしくないわけです。

 

今や誰もがインターネットと繋がっている時代。使い方ひとつ間違えば、守るべき情報が一気に拡散してしまうことになります。

 

またつい最近でも、岡山大学病院の医師が私的に使っているクラウドサービスに患者情報をアップし、それが流出したとの事故も起きました。

 

xtech.nikkei.com

 

善意でやったことが裏目に出た、と表現するのがふさわしい事件です。

 

保険は「備えあれば憂いなし」

 

サイバー保険を提供する会社は「内部が原因で起こる事故から守る必要性」を認識しており、三井住友海上の「サイバープロテクター」では次のように特徴を謳っています。

 

外部起因・内部起因の事故を幅広くカバー

 

サイバー攻撃のほか、使用人の犯罪リスクまでカバーします。

 

 サイバープロテクター|法人のお客さま|三井住友海上

 

「内部起因」と言うと裏切り者の犯行というイメージを持ちますが、悪意を持たない善良な職員による「うっかりミス」により事故が起きるケースもあるということを、病院の管理者や院内SEは知っておく必要があります。

 

うっかりミスをサイバーテロとは呼びませんし、良かれと思ってやったことを犯罪呼ばわりするのは酷な話です。しかし、個人情報の保護体制はどの企業や病院でも当然備わっていなければならないものであり、万が一漏洩事故が起きたときには計り知れない損害を被ることになります。実害を受けるのは患者やその家族ですから、慎重な扱いが必要です。

 

それを未然に防ぐためには、SNSやスマホを使うときの利用ルールを定めたり、セキュリティ対策に関する研修を行ったりなど、ITリテラシーを高める啓蒙活動が有効と言えます。

 

 

以上、急増するサイバーテロへの備えとして、サイバー保険の必要性を考えました。

 

サイバーテロは、もはや対岸の火事とは言えない脅威になりつつあります。「人の振り見て我が振り直せ」の精神で、過去の事例をケーススタディにして対策を講じていくことが大切と言えます。

 

はてなブログの「グループ」に参加しました! 当ブログと同じジャンルのブログが見つかるかもしれませんよ。興味のある方はクリック!

 

 最後に

当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。

 

面白いと思ったら、ぜひブラウザにお気に入りの登録をお願いします!

人気記事もぜひ読んでいってくださいね。

 人気記事を見る

 

▼面白かったと思って頂けたら、ぜひ下の「人気ブログランキング」または「にほんブログ村」のボタンを押してください!


システムエンジニアランキング

ブログランキング・にほんブログ村へにほんブログ村

©病院の情シスで働く医療情報技師の奮闘記 All Rights Reserved
プライバシーポリシー・ お問い合わせ