プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2021年11月

つるぎ町立半田病院
(画像は同病院のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

徳島県のつるぎ町立半田病院でランサムウェア(身代金要求型ウイルス)の被害が発生し、病院の心臓部ともいえる電子カルテシステムのデータを全く読みだせなくなり、機能停止の状態に陥っています。報道によると、同病院では身代金を支払わず、約2億円をかけて電子カルテシステムを再構築する方針とのことです。

事件が発生したのは10月31日、電子カルテシステムにランサムウェアが感染。プリンターが勝手に動き出して「データを暗号化した。複号するためには身代金を払え」との内容が印刷されたとのことです。病院では、外部の専門会社にデータ復旧を依頼したがうまくいかず、そのまま病院としての機能が停止したようです。

同病院では、フォーティネット社のVPN機器を使用していたとのことですが、同社製品には以前から脆弱性が報告されており、ログインするためのアカウント情報のリストが公開されるという危機的な状態が続いていました。しかし、同病院はその対応を取っていなかったために狙われたのでないかと推測されます。

同病院では新規の患者受け入れを停止し、患者から情報を聞き取って紙のカルテを作成するという対応を取っており、今後の方針としては身代金は支払わず、約2億円をかけて新しい電子カルテシステムを再構築する方針とのことです。

つるぎ町立半田病院
http://www.handa-hospital.jp

VPN機器8.7万台分の認証情報が公開 - Fortinetが注意喚起(Security NEXT)
https://www.security-next.com/129771

(私のコメント)
今回の事態で明らかになったように、フォーティネット社のVPN機器の脆弱性をそのままにしておくことは組織崩壊の危機を招きます。同システムを使用されている会社の方は、今すぐ対応することを強く推奨いたします。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

ニップン社不正アクセスのプレスリリース
(画像は同社のリリース文より)

皆さんこんにちは。
プライバシーザムライ中康二です。

製粉大手の株式会社ニップン(東証一部上場)は、2021年7月に、何者かによる大規模なサイバー攻撃を受けたことにより、社内の業務システムの多くのデータが暗号化されて読みだせなくなり、バックアップサーバも同様の被害を受けたとのことです。これにより同社は上場企業に義務付けられている四半期報告書を通常のスケジュールで作成できなくなり、8月から10月まで公表を遅らせる事態となりました。

この事件については、詳細が明らかにされておらず、原因などが不明なのですが、同社のリリースからは
・社内のサーバーと端末の多くで一斉にデータが暗号化されて読みだせなくなった。
・バックアップシステムも同様にデータを暗号化されて読みだせなくなった。
・オンラインバックアップも同様にデータを暗号化されて読みだせなくなった。
・全ての社内ネットワークを停止したために一時的に全業務(生産管理除く)が停止した。
・生産管理システムには影響はなかった。
・会計報告については、伝票を手入力することにより集計し、作成する。
ということが分かっています。

同社のリリース文
https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2021/08/16/20210816-1.pdf

(私のコメント)
一部上場企業を攻撃対象にしたとんでもない規模の事件です。犯人はどのようにしてこれを実行したのでしょうか?ネットワークに侵入し、少しずつサーバーを乗っ取っていき、準備を万端に整えたうえで、一気に実行に移ったように見えます。同社としても一定のセキュリティ対策は取っていたと思われますが、悪意を持った人たちに狙われるとこうなるという貴重な事例として、日本のビジネスパーソンには認識を新たにしていただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

optimasolutions (2)
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

早くも年末の足音が聞こえてまいりました。
コロナコロナで明け暮れた2021年という印象がありますが、
皆様はいかがでしょうか?

さて、この一年も、プライバシー/セキュリティの領域では
様々な出来事が起こりました。

・世界標準のプライバシー認証ISO27701(PIMS)がスタート
・個人情報保護法の官民一元化改正が成立
・JIPDECがプライバシーマークの新審査基準を発表
・LINEに対して個人情報保護委員会が立ち入り検査と指導を実施
・Omiaiから大量の本人確認書類が流出

などなど、目まぐるしかったですね。

さて、今回、初めての試みとして、
私プライバシーザムライと、セキュリティ博士(当社コンサルタント・大塚)
の二人によるクリスマス特別対談を開催いたします。

プライバシーマーク、ISMS担当者の皆様、どうぞご参加くださいませ!

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
登壇者紹介
プライバシーザムライ 中康二
プライバシーザムライ 中康二(なか こうじ)
オプティマ・ソリューションズ株式会社・代表取締役
ソニー出身
プライバシーマークとISMSの専門家

DSC_3045
セキュリティ博士 大塚晃司(おおつか こうじ)
オプティマ・ソリューションズ株式会社・コンサルタント
会計事務所出身
ISMS/情報セキュリティで数多くのお客様を支援してきた、腕利きコンサルタント

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

タイトル:「2021年を振り返る」プライバシーザムライ/セキュリティ博士 クリスマス特別対談
日時:2021年12月23日(木)10時から11時半
場所:リモートで開催(Zoomを利用します)
登壇者:プライバシーザムライ 中 康二×セキュリティ博士 大塚晃司
参加費:無料(1社2名様まで)
参加対象者:
 プライバシーマーク、ISMS取得事業者の役員、担当者の方
 または上記の認証取得を検討中の役員、担当者の方

主催:オプティマ・ソリューションズ株式会社

※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
botan



皆さんとオンラインにてお会いできるのを楽しみにしております!
プライバシーザムライ 中康二

マイナンバーカードが健康保険証として利用できます
(画面はマイナポータルから)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

政府が普及促進に躍起になっているマイナンバーカード。

ついに本命の使い方と言えるのではないかと思われる「健康保険証」としての利用が始まりました。厚生労働省がYouTubeに分かりやすい動画を載せてますので、これを使って簡単にご紹介しておきます。

(1)マイナンバーカードの健康保険証利用の概要について

マイナンバーカードが健康保険証として利用できるようになり、全国の医療機関や薬局で利用できるようになります。


(動画の最後に令和3年3月からとありますが、10月に延期されていました)

(2)健康保険証としての利用には事前の申し込みが必要

マイナンバーカードを健康保険証として利用するには、事前の申し込みが必要です。
この手続きには「4桁の暗証番号」が必要で、下記の方法でできるようです。

・パソコンにICカードリーダーを接続して申し込む
・マイナンバーカードの読み取りに対応したスマホで申し込む
 (対応スマホはこちらから)
・セブン銀行ATMから申し込む
・医療機関や薬局の端末から申し込む

ここでのポイントはどうして「事前に」なのかということですが、申し込みをしたあと、裏側で健康保険組合に情報が送られて「情報連携」の手続きが行われるからのようです。完全オンライン処理ではないのでご注意ください。

また「4桁の暗証番号」は、3回連続で間違えるとロックがかかり、役所の窓口まで行かないと解除できないことになっていますので、くれぐれも要注意です。特にスマホで申し込む場合には、読み取りミスが発生しやすく、読み取りミスによりロックがかかってしまうことも多いようです。それが嫌な場合には保守的に考えて、わざわざセブン銀行ATMに行くくらいでいいかもしれません。



(3)医療機関、薬局での利用時には顔認証も利用

今回、医療機関や薬局には、大量にマイナンバー対応の顔認証付きカードリーダーが導入されたようです。マイナンバーカードに収録されている顔写真データと照合するようですね。(入出国時のパスポートに収録された顔写真データと照合するのと同様の方式と思われます)顔認証の際には、マスクをしていても対応できるとしています。

なお、顔認証を希望しない場合には「4桁の暗証番号」での認証を選択することができるようです。



(4)今後は薬剤情報や健康診断の情報が蓄積されていく

あくまでも今後のデータのみになるようですが、医療費の情報、処方された薬剤情報、40歳以上の人に実施されている特定健康診査のデータが蓄積されていくようになり、「お薬手帳」の代わりになるほか、確定申告の際にも医療費の情報が自動的に連携するようになるそうです。




マイナンバーカードの健康保険証利用について(厚生労働省)
https://www.mhlw.go.jp/stf/newpage_08277.html

(私のコメント)
みんなが大好きな医療機関や薬局で使えるとなれば、マイナンバーカードの使い方としてはかなりの本命となるのではないかと私は勝手に思っています😉

医療機関や薬局から健康保険組合への医療費を請求し、それを健康保険組合が処理するという作業は、とてつもない手作業の集積となっていると思われます。今回のマイナンバーカードの導入により、それらの処理がオンライン化されていくのであれば、このカードの意味も出てくると言えるのではないかと思います。

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

中国個人情報保護法
(画像は中国政府のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

報道によりますと、11月1日から、中国で個人情報保護法が正式に施行されたとのことです。

今回の法律の施行により、すでに施行済みの「サイバーセキュリティ法」「データ安全法」と合わせて、中国政府としての情報セキュリティ・個人情報保護に関する法整備がひとまず完成したものとされているそうです。

さて、肝心の内容ですが、私がGoogle翻訳で読み下した範囲においては、日本の個人情報保護法とよく似ていて「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」という方向性のように思えました。中国には人権がないかのような言説が多いですが、今回の法律に関してはそういうことでもなく、世界の風潮に合わせた近代的な法整備と考えてよさそうです。

また後発の利点というべきでしょうか、個人情報の海外移転の制限や、域外適用、中国国内における責任者または代理人の指名、最大5000万元(約9億円)もしくは前年の売上高の5%という多額の罰金など、欧州のGDPRと同様の規制を含んでいます。中国でビジネスを展開する日本企業は、これらに対する対応が必要となります。

さらに中国ならではの規制として、中国在住者の個人情報を大量に扱う場合には、中国国内のデータセンターでの保管が義務付けられるとのことで、巨大IT企業として中国でもビジネスを展開しているAppleやマイクロソフトなどはこれに既に対応しているようです。

中国個人情報保護法
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

中国サイバーセキュリティ法
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

中国データセキュリティ法
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
(いずれもGoogle翻訳にかけると、かなりきれいな日本語になります)

皆さんにとってこの情報が参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。


↑このページのトップヘ