ニュース 2020.12.22 福島医大病院　3年前のランサムウェア被害を公表

同病院によると、2017年8月以降、コンピュータウイルス感染が原因とみられる検査機器の不具合が複数の部署で発生し、患者のCTを撮り直さなければならない場面もあったという。

病院内のネットワークはインターネットに接続していないため、病院関係者が、ウイルスに感染した私用パソコンをネットワークに接続したことで、院内にウイルスが持ち込まれた可能性がある。

同病院のランサムウェアの感染は初めてで、身代金の要求には応じていない。患者への被害もなく、被害報告の義務もなかったとした。

現状の個人情報保護法では、不正アクセスや個人情報漏えい等の可能性が発覚した場合でも、本人への通知は「努力義務」となっているため、被害にあった企業の対応は様々だ。

しかし、政府の個人情報保護委員会は、7月16日、「サイバー攻撃による個人情報漏えい時の本人通知義務化」に関する新たな方針を発表しており、2022年春からは、不正アクセスによる情報流出などが発生した場合には、被害をうける可能性のある全員に通知することが義務付けられる予定だ。通知をしなかった場合、最大で1億円の罰金が科せられる。

ウイルスに感染しないための最大限の対策は継続しながら、今後は、感染した場合の対応手順、情報公開のタイミング等についても、組織内で周知していく必要がある。

【関連リンク】

・福島医大病院でランサム被害　17年夏、公表せず（日経新聞）
https://www.nikkei.com/article/DGXMZO66895900S0A201C2CC1000?unlock=1

TEXT：セキュリティ通信 編集部
PHOTO：iStock