当センターについて

愛知県がんセンター職員が利用するクラウドサービスへの不正アクセスによる個人情報漏えいのおそれについて

この度、愛知県がんセンターが当センター医師(1名)に付与したメールを含むクラウドサービス(※)のアカウントのパスワードが窃取され、個人情報漏えいのおそれがあることが判明しました。

このような事態を招いたことを深くお詫びするとともに、個人情報の厳格な取扱いの徹底等を行い、再発防止に努めてまいります。

(※)がんセンター職員が利用するクラウドサービスの概要
Microsoft社のOffice365を、がんセンター内の情報共有、外部への連絡のために使用している。機能としては、メール、共有ドライブ、掲示板機能等を有している。

1 経緯

期日事案の経過
2021年
7月13日(火曜日)~
メールの調子がおかしいことに不審を抱いた医師Aからの申出により がんセンター医療情報管理部が調査
7月14日(水曜日)医師Aによりパスワード変更
7月15日(木曜日)ネットワーク委託業者の調査により、海外から医師Aのアカウントに不正アクセスが行われていたことが判明
医療情報管理部の判断より医師Aのアカウントのクラウドサービスを停止
7月15日(木曜日)~医療情報管理部とネットワーク委託業者による詳細な調査の実施
医師Aのクラウドサービスのログ調査
→海外からの不正アクセスは5月31日から7月14日までと判明
医師Aの送受信メールの調査
→パスワードロックのない個人情報(後述2のとおり)を含むメールの送受信があり、不正アクセス者がメールの内容を閲覧できる状態だったため、個人情報漏えいのおそれがあると判断
医師Aのメール以外のクラウドサービスの調査
→不正アクセスの記録があったものについて、アクセスした先のファイルに個人情報はないことを確認
医師AのPCの調査
→ウイルス等の不正プログラム及びフィッシングサイトへのアクセス記録は見つからず
他の職員のアカウントへの不正アクセス調査
→不正アクセスなし
7月19日(月曜日)~対策の実施がんセンター全職員へのクラウドサービスのパスワードリセット及び多要素認証の導入ファイアウォールの設定強化個人情報の取扱いについて、改めてがんセンター全職員宛てに周知

2 漏えいしたおそれがある情報

延べ183名の患者さんの情報が漏えいしたおそれがあります。
なお、不正アクセス者がこれらの情報を実際に閲覧したかどうかは不明で、現時点までに個人情報の漏えいや悪用は確認されておりません。

延べ人数情報の種類
90名患者のID、氏名、性別、生年月日、転帰(生存又は死亡)、病状
70名患者のID、氏名、性別、病状
15名患者のID、氏名、病状
5名患者のID、氏名
1名患者のID、氏名、生年月日、病状・手術記録
1名患者の氏名、生年月日、死亡日、病状
1名患者家族の氏名、郵便番号、住所、紛争状況

また、医師Aにメールを送受信した方のメールアドレス情報が漏えいしたおそれがあり、調査及び関係者への連絡を行っております。

3 原因

患者の個人情報が含まれているにもかかわらず、センター内の個人情報保護のルールを順守せず、パスワードロックのないファイルを送信していたことによる。

なお、クラウドサービスのアカウントのパスワードが窃取された原因は不明です。

4 対策

(1) 不正アクセス防止

クラウドサービスのログインに多要素認証(多要素認証とは、パスワード認証に加えて登録した携帯電話に暗証番号のショートメールを通知するといった他の認証を追加する仕組み)を導入し、仮にパスワードが窃取されても別の認証により不正アクセスできない仕組みにしました。

また、ファイアウォール(インターネットと内部ネットワークの間に設置し、セキュリティ上の理由等により通過させてはいけない通信を阻止するシステム)の設定を強化しました。

(2) 情報漏えい防止

個人情報の適正な取扱いについて、改めて周知・徹底するとともに、個人情報保護や情報セキュリティに詳しい専門家の協力を仰ぎ、再発防止に努めてまいります。