英国データ保護機関、セキュリティ対策不足を理由に罰金609万ポンドを要求 8万人分情報流出で被害多数：ランサムウェア攻撃で国民保健サービスが中断

英国データ保護機関は、情報セキュリティへの取り組みに重大な欠陥があったとして、英国のIT企業Advanced Computer Softwareに対し、609万ポンドの罰金を課すことを暫定的に決定した。

[＠IT]

　英国データ保護機関（ICO）は2024年8月7日（英国時間）、英国のIT企業Advanced Computer Software（以下、Advanced）に対し、609万ポンドの罰金を課すことを暫定的に決定した。

セキュリティ被害の詳細

　Advancedは、NHS（National Health Service、国民保健サービス）をはじめとした医療提供者など、全国規模の組織にITおよびソフトウェアサービスを提供しており、これらの組織に代わりユーザーの個人情報を取り扱っている。2022年8月、ハッカーが多要素認証のない顧客アカウントを介してAdvancedが管理する複数の健康およびケアシステムにランサムウェア攻撃を仕掛け、8万2946人分の個人情報が流出した。

　この影響でNHS 111（※）などの重要なサービスが中断し、医療スタッフが患者の記録にアクセスできなくなる事態となった。また、流出したデータには、電話番号や医療記録の他、在宅介護を受けている890人の自宅に入る方法の詳細も含まれていた。

（※）年中無休で利用できる電話医療相談サービス。英国における緊急医療サービスの内の一つ

ICOの見解は？

　ICOのジョン・エドワーズ氏は次のように述べる。「大量の機密データや特別なカテゴリーのデータを扱うことを信頼されている組織として、この事件以前の情報セキュリティへの取り組みに重大な欠陥があったことが暫定的に判明した。企業システムでは既に対策を講じていたにもかかわらず、Advancedは医療システムのセキュリティを維持できなかったというのが暫定的な結論だ」

　「全ての組織が、脆弱（ぜいじゃく）性の定期的なチェック、多要素認証の実装、最新のセキュリティパッチによるシステムの最新化など、システムを保護するための基本的な手順を踏むことを期待している。全ての組織、特に機密性の高い健康データを取り扱う組織は、多要素認証を使用して外部接続を緊急に保護するよう強く求める」（エドワーズ氏）

　なお、ICOはこの決定は暫定的なもので、Advancedには最終決定前に申し立てをする機会が与えられ、罰金額も変更される可能性があるとしている。