南生協病院で発生！見落とされたセキュリティ盲点と対策

2024年11月25日、南生協病院は重大なセキュリティインシデントに関するお知らせとお詫びを発表しました。

このインシデントは、病院の病棟業務で使用されていたPC機器の廃棄処分時に発生しました。
具体的には、データ消去装置がHDD（ハードディスクドライブ）に対しては有効であったものの、SSD（ソリッドステートドライブ）に対しては効果がないことが担当者に知られていなかったため、SSD内のデータが適切に消去されずに廃棄先の事業者に引き渡されたというものです。

このインシデントは、2024年9月25日頃に発生しました。病院では、PCの廃棄処分の際にデータ消去装置を使用し、データを消去する手順を踏んでいました。しかし、データ消去装置が主にHDDに対して有効であり、SSDに対しては効果がないことが担当者に認識されていませんでした。結果として、10台から20台のPC内蔵のSSDが不十分なデータ消去処理のまま廃棄先事業者に引き渡されました。10月中旬に、この問題が発覚しました。
^{同病院公式サイト：https://minami.or.jp/news/2400/}

対象となった機器は、南生協病院の病棟で使用されていたPC内蔵のSSDで、約10台から20台です。这些SSDには、患者に関する情報が保存されていた可能性がありますが、実際にどのようなデータが保存されていたかは不明です。病院の運用ルールでは、対象機器に個人情報を保存することは禁止されています。

現時点で、個人データの漏洩は確認されていません。病院側は、対象機器に個人情報を保存しない運用ルールがあり、また、処分先事業者への訪問等により対象機器が破砕処理された可能性が高いことを確認しているため、個人データの漏洩の可能性は極めて低いと判断しています。ただし、新たな事実が判明した場合は、改めてお知らせする予定です。

このインシデントから、南生協病院は以下のような再発防止策を講じることを発表しました。

病院は、記憶装置の廃棄処分手順を徹底的に見直し、確実なデータ消去を実施する体制を整備することになりました。特に、SSDのような特殊な記憶装置に対する適切なデータ消去方法を確立することが重要です。SSDの場合、物理的な破壊（例：チップの破壊）が必要であることが指摘されており、単なるデータ消去装置では不十分であることが明らかです。

情報管理体制の強化も重要な再発防止策の一つです。病院は、記録管理を徹底し、機器の廃棄処分に関するプロセスを明確にし、担当者の教育と訓練を強化する必要があります。

このインシデントは、セキュリティ管理における重要な盲点を浮き彫りにしました。特に、以下の点が注目されます。

異なる種類の記憶装置（HDD、SSDなど）に対して、適切なデータ消去方法を知り、実践することが不可欠です。SSDの場合、データ消去装置 aloneでは不十分であり、物理的な破壊が必要であることを認識することが重要です。

病院の運用ルールでは、対象機器に個人情報を保存することは禁止されていますが、実際の運用においてもこのルールを厳守することが求められます。ルールの遵守を確実にするために、定期的な監査と教育が必要です。

機器の廃棄処分において、外部事業者に引き渡す際にも、データ消去の確認や機器の破砕処理の確認を行うことが重要です。外部事業者との契約やプロセスも再検討する必要があります。

南生協病院のインシデントは、セキュリティ管理における細部までの注意と、再発防止策の重要性を示しています。特に、記憶装置の種類別対応や運用ルールの遵守、外部事業者への管理など、多岐にわたる対策が必要です。病院や企業全体で、セキュリティ意識を高め、情報管理体制を強化することが今後の課題となります。