More Related Content Similar to 医療におけるサードパーティベンダーリスク管理 (20) More from Eiji Sasahara, Ph.D., MBA 笹原英司 (20) 医療におけるサードパーティベンダーリスク管理5. 5
1. 日本国内におけるサードパーティベンダーを介したインシデント事例
(2)
• 日経XTECH 「〔92〕再発防止策見えない情報流出後の自治体発表」
(2007年6月4日) (https://xtech.nikkei.com/it/article/COLUMN/20070531/273230/)
• 2007年5月16日、A市は、合併した旧町の住民記録および税に関する情報が電算保
守の
外部委託先から流出したことを発表
• 電算保守受託業者であるB社の元社員が契約に違反して,情報を保存した社用PC
を
持ち帰り、ファイル交換ソフト「Winny」をインストールしている自宅PCにデー
タを複写。
ウイルス感染によりデータが流出した
• 住基情報、住民税、軽自動車税、固定資産税、税引き落とし口座、税収納などに
関する
情報が流出(住民税、固定資産税、税引き落とし口座には個人情報が含まれてい
た)
7. 7
1. 日本国内におけるサードパーティベンダーを介したインシデント事例
(4)
• 日経XTECH 「〔122〕住基情報の委託先管理で求められる自治体首長の
リーダーシップ」(2008年1月21日)
(https://xtech.nikkei.com/it/article/COLUMN/20080117/291287/)
• 総務省「住民基本台帳に係る電算処理の委託等に関する検討会報告書」(2007年12
月
20日) (https://www.soumu.go.jp/main_sosiki/jichi_gyousei/c-gyousei/daityo/old/pdf/071221_1_s3-2.pdf)
• 事業者の対応上の問題
• 再委託に係る承認手続の不履行
• 委託先事業者による再委託先事業者に対する委託契約の規定内容遵守(指定場所での処理,
データの持ち出しの禁止など)の不徹底
• 再委託先事業者における情報セキュリティ確保措置の不備(特に,在宅勤務が伴う
勤務体制下での不備)
• 再委託先事業者の従業員による自宅パソコンのデータの不正保存
• 当該パソコンへのファイル交換ソフトのインストール・ウイルス感染
• まとめ
• 法律改正によらない対応であっても、規範性を有する技術的基準の改正による対応に、運用上
8. 8
1. 日本国内におけるサードパーティベンダーを介したインシデント事例
(5)
• 日経XTECH 「〔123〕IT市場を左右するSaaS事業者の個人情報保護対
策」(2008年1月28日) (https://xtech.nikkei.com/it/article/COLUMN/20080124/291863/)
• 総務省 ASP・SaaSの情報セキュリティ対策に関する研究会
「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」
「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(2008年1月30日最終版)
(https://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/chousa/asp_saas/index.html)
• SaaS/ASPが急速に普及・拡大を続ける背景要因
• ブロードバンドの普及
• 個人情報保護法の施行等による企業の意識の変化
• ASP/SaaSサービスの多様化
• 人的・金銭的リソースに限界のある中小企業が個人情報保護法に対応するために、高いレベルの
運用・管理ノウハウを持つASP・SaaSサービスを利用するようになったことが大きい
• 経済産業省「SaaS向けSLAガイドライン」(2008年1月21日)
(http://www.meti.go.jp/policy/netsecurity/secdoc/contents/downloadfils/080121saasgl.pdf)
• 各種セキュリティ規格の準拠性に関する確認事項
• 機密性に関する確認事項
• 完全性に関する確認事項
• 可用性に関する確認事項
• 運用保守における確認事項
10. 10
2. 米国の医療機関におけるサードパーティベンダーを介したインシデン
ト事例(1)
• 米国ブラックボー「FORM 10-Q: 1934年証券取引法第13条または15条
(d)項に基づく2020年4-6月期四半期報告書」(2020年8月4日)
(https://investor.blackbaud.com/sec-filings/sec-filing/10-q/0001280058-20-000038)
• 非営利組織向けに特別設計のクラウド型ソフトウェアおよび関連サービスを開発・提
供する企業(米国NASDAQ上場)
• 2020年8月4日、米国証券委員会(SEC)のサイバーセキュリティリスク開示ガイドラ
インに
基づき、ランサムウェア攻撃に起因するセキュリティインシデントが2020年5月に
発生したことを2020年4-6月期四半期報告書の中で公表
出典:Blackbaud, Inc.「QUARTERLY REPORT PURSUANT TO SECTION 13 OR 15(d) OF THE SECURITIES EXCHANGE ACT OF 1934
For the quarterly period ended June 30, 2020」(2020年8月4日)
(https://investor.blackbaud.com/sec-filings/sec-filing/10-q/0001280058-20-000038)
11. 11
2. 米国の医療機関におけるサードパーティベンダーを介したインシデン
ト事例(2)
• グリニッジ病院(コネティカット州ニューヘイブン)
• 2020年8月12日、ブラックボーが、グリニッジ病院に対して、2020年2月7日~
5月20日の間、同社の寄付管理システムがランサムウェア攻撃に遭い、不正アク
セスしたグループが非金融情報を削除したことを通知
• グリニッジ病院の運営母体であるイェール・ニューヘブン・ヘルスシステム(YNHHS)は直
ちに、どの
情報が潜在的に漏えいしてどの人々が影響を受けたかを確認するために、広範囲に及ぶ内部調
査を開始
• 2020年10月9日、グリニッジ病院が、企業ブラックボーで発覚したデータ漏えい
インシデントの影響を受けたことを正式に公表
• 寄付者とのコミュニケーションやエンゲージメントにブラックボーのソフトウェアを利用して
おり、今回のインシデントの影響を受けた可能性のある関係者全員宛に、通知書面を送付
• 漏えいしたデータには、銀行口座、社会保障番号、クレジットカード情報など、個人の金融情
報は含まれていない
• ブラックボー側の見解:外部集団からの要求に応じて身代金を支払い、すべての
データが破壊され、いかなる情報も流出していないことが保証された
• ブラックボーのパブリッククラウド環境(例.Microsoft Azure、Amazon Web Services)
12. 12
2. 米国の医療機関におけるサードパーティベンダーを介したインシデン
ト事例(3)
• 米国ブラックボー「FORM 10-Q: 1934年証券取引法第13条または15条
(d)項に基づく2020年7-9月期四半期報告書」(2020年11月3日)
(https://investor.blackbaud.com/sec-filings/sec-filing/10-q/0001280058-20-000052)
• 2020年7-9月期のセキュリティインシデント関連支出:320万米ドル(約4億3200万円)
*1US$=135
• 2020年7-9月期にセキュリティインシデント関連で発生した保険金回収額:290万米ドル(3億9150
万円)
出典:Blackbaud, Inc.「QUARTERLY REPORT PURSUANT TO SECTION 13 OR 15(d) OF THE SECURITIES EXCHANGE ACT OF 1934
For the quarterly period ended September 30, 2020」(2020年11月3日)
(https://investor.blackbaud.com/sec-filings/sec-filing/10-q/0001280058-20-000038)
13. 13
2. 米国の医療機関におけるサードパーティベンダーを介したインシデン
ト事例(4)
• 米国ハーバード・アイ・アソシエイツ「データ侵害通知」(2021年2月5
日) (https://oag.ca.gov/system/files/Patient%20Letter%20-%20IDX%20Proof%20Copy.pdf)
• 2021年1月15日、ハーバード・アイの外部委託先であるオンライン・データスト
レージ・ベンダーより、同社のコンピュータシステムに外部からの不正アクセスがあ
り、データの一部(保護対象
保健情報(PHI)を含む)が盗まれたという通知を受ける
• ハーバード・アイは、ベンダーより、ハッカーが盗んだデータの代償と
して金銭を要求しているという通知を受ける
• ベンダーは、サイバーセキュリティ専門家および連邦捜査局(FBI)に
相談した後、金銭を支払ったが、その際に、ハッカーはデータを返却し、
ベンダーに対して、データを公開したり、コピーを保存したりすることは
ないと告げたと説明している
• ベンダーは、ハッカーが、2020年10月24日までには、ハーバード・
アイのデータにアクセスしていた可能性があると結論付ける(ハッカーが
出典:Harvard Eye Associates「Notice of Data Breach」(2021年2月5日)
(https://oag.ca.gov/system/files/Patient%20Letter%20-%20IDX%20Proof%20Copy.pdf)
14. 14
2. 米国の医療機関におけるサードパーティベンダーを介したインシデン
ト事例(5)
• ハッカーが盗んだ情報
• ハーバード・アイが所有する患者情報:
患者の名前、住所、電話番号、電子メールアドレス、生年月日、病歴、医療保険
情報、
治療薬、ハーバード・アイからの診療に関する情報など
• 外科センター向けの管理サービスを実行するためにハーバード・アイが利用して
いた
アリシア外科センターにおいて眼科手術を受けた患者情報:
手術に関連する医療情報が含まれている可能性がある
• ハーバード・アイの職員に係わる個人情報:
現在および過去のハーバード・アイの職員と、家族および受益者に関する特定の
個人情報
• ベンダー側の対応:
• インシデント発生後、FBIに連絡する一方、サイバーセキュリティ専門家を雇用
して調査を
実施し、ハッカーからのアクセスをブロックして、再発防止対策を講じる
15. 15
2. 米国の医療機関におけるサードパーティベンダーを介したインシデン
ト事例(6)
• 米国ピーチステート・ヘルスマネジメント「臨床検査機関が潜在的な
HIPAAセキュリティ規則違反で25,000米ドルを支払うことで和解」
(2021年5月25日) (https://www.hhs.gov/about/news/2021/05/25/clinical-laboratory-pays-25000-settle-
potential-hipaa-security-rule-violations.html)
• ピーチステート(ジョージア州):HIPAA規則の適用対象主体(CE)である医療機
関からの委託を受けて、保護対象保健情報(PHI)を利用した臨床/遺伝子検査サー
ビス業務を行う事業提携者(BA)に該当する臨床検査サービス機関
• 2017年12月、米国保健福祉省(HHS)の公民権室(OCR)が、ピーチステートのHIPAA
プライバシー/セキュリティ規則の遵守状況に関する調査を開始
• HIPAAセキュリティ規則違反事項を確認⇒制裁金25,000米ドル(=3,375,000円)
A) ピーチステートが保有する電子PHIの機密性、完全性、可用性に対する潜在的リスクや脆弱
性に関する正確で完全な評価の実施を怠っていた。
B) リスク分析または評価で特定された合理的で適切なレベルまで、リスクや脆弱性を低減する
のに十分な
セキュリティ対策の導入を怠っていた。
C) 電子PHIを含むまたは利用する情報システムにおける活動を記録・検証するハードウェアや
17. 17
3. 金融機関におけるサードパーティベンダーリスク管理事例(1)
• 米国キャピタル・ワン「キャピタル・ワンのサイバーインシデントに関
する情報」(2022年4月22日更新) (https://www.capitalone.com/digital/facts2019/)
• 何が起きたか?
• 2019年7月19日、外部の個人が不正アクセスを実行し、キャピタル・ワンのクレ
ジットカード顧客およびクレジットカード商品を申し込んだ個人に関する特定タ
イプの個人情報を取得したと判断した(*外部通報者からの通知により、クラウド
ストレージから流出したデータがGitHub上で公開状態にあることが発覚)
• 何をしたか?
• 直ちに問題を修正し、迅速に連邦政府の法執行機関とともに作業を開始した
• データを取得した外部の個人は、FBIにより拘束された
• 政府機関は、データが復旧されたこと、データが詐欺に利用されたり、個人によ
り共有された証拠はないと信じていることを表明した
• どんな影響があったか?
• このイベントは、米国内の個人約1億人、カナダ国内の個人約600万人に影響を及
ぼした
• アクセスされた情報には、クレジットカードの既存顧客および申込者の名前、住
18. 18
3. 金融機関におけるサードパーティベンダーリスク管理事例(2)
• キャピタル・ワンへの問い合わせに対するFAQ
1. 何が起きたのか?
2. どのようにして、キャピタル・ワンはインシデントを発見したか?
3. いつこれが発生したのか?
4. 自分に影響が及んだか否かを、どのようにして知るのか?
5. 誰がこのサイバーインシデントに関する責任があるのか?
6. このインシデントは、キャピタル・ワンの他の企業からの顧客に影響を及ぼすの
か?
7. このインシデント以降、自分を保護するために、キャピタル・ワンは何をしてい
るのか?
8. このサイバーインシデントに関して、自分の情報を尋ねる電話やテキストメッ
セージを受けた。自分は何をすべきか?
9. 不正やID詐欺から自らを守るためにとれる追加的なステップはあるか?
10.自分の社会保障番号やアカウント番号が影響を受けたという通知を受け取ってい
ないが、心配である。自分は何をすべきか?
11.このサイバーインシデントに関連した和解策はあるか?
21. 21
3. 金融機関におけるサードパーティベンダーリスク管理事例(5)
• G7の基礎的要素(1)
要素 内容
<サードパーティのリスクマネジメントのライフサイクル>
1.ガバナンス 金融機関のガバナンス組織は、サードパーティのサイバーリスクマ
ネジメントの効果的な監視及び実行に関する責任を有すること
2.サードパー
ティのサイバー
リスクに対する
リスクマネジメ
ントプロセス
金融機関は、サードパーティのリスクマネジメントのライフサイク
ル全体を通じ、サードパーティのサイバーリスクを管理する有効な
プロセスを有すること
・サードパーティと重要性の特定:金融機関は、サードパーティの一覧及び当
該サード
パーティが金融機関の業務にとってどの程度重要かの理解を維持すること
・サイバーリスクの評価とデューディリジェンス:金融機関は、サードパーティ
と新たな取引関係に入る前、及び関係が継続する間、自らのサイバー戦略と整合
的かどうかを検討するために、 サードパーティのサイバーリスク評価及び
デューディリジェンスを実施すること
・契約の構成:金融機関とサードパーティとの契約は 、再委託から生じるもの
22. 22
3. 金融機関におけるサードパーティベンダーリスク管理事例(6)
• G7の基礎的要素(2)
要素 内容
3.インシデント
対応
金融機関は特に重要なサードパーティを含むインシデント対応計画
を策定し、
演習を実施すること
4.コンティン
ジェンシープラ
ンと出口戦略
金融機関は、サードパーティがサイバー関連のパフォーマンスの期
待要件を満たさない場合又は金融機関の許容範囲を超えるサイバー
リスクをもたらす 場合に備えて、適切なコンティンジェンシープラ
ンと出口戦略を有しておくこと
<システム全体のサイバーリスクのモニタリングとセクター横断的な調整管理>
5.潜在的なシ
ステミックリス
クのモニタリン
グ
金融セクター全体にわたるサードパーティとの取引がモニタリング
されるとともに、潜在的にシステミックな影響を及ぼす可能性を有
するサードパーティの
サイバーリスクの要因が評価されていること
6.セクター横断
的な調整
セクターを跨るサードパーティへの依存に関連したサイバーリスク
24. 24
4. Cloud Security Alliance「医療におけるサードパー
ティベンダーリスク管理」(2022年7月29日発行)(1)
(https://cloudsecurityalliance.org/artifacts/third-party-vendor-risk-management/)
[構成]
• イントロダクション
• 特定
• サードパーティベンダーの特定と優先順位付け
• サードパーティの関係性からの潜在的リスク
• 保護
• リスク評価
• セキュリティに関する質問
• リスク処理
• 検知
• モニタリング
• 対応
• 対応
• 復旧
• 追加的考慮事項
• クラウド
• 自動化
• プログラムの効果の追跡と改善
出典:CSA Health Information Management WG「Third-Party
Vendor Risk Management in Healthcare」(2022年7月29日)