多摩北部医療センターにおけるパソコン端末等への不正アクセス被害

医師PCに不正アクセス、個人情報流出か|NNNニュース
http://www.news24.jp/nnn/news162131302.html
東京都などによると、多摩北部医療センターに勤務する男性医師のパソコンが、サイバー攻撃によるウイルスに感染し、患者ら3671人の氏名や生年月日、病歴などの個人情報のほか、医療関係者ら1533人のメールアドレスが流出した可能性があるという。

医師PCに不正アクセス、個人情報流出か|NNNニュース.jpg

 

公益財団法人東京都保健医療公社 多摩北部医療センター
http://www.tamahoku-hp.jp/

多摩北部医療センターにおけるパソコン端末等への不正アクセス被害に関するお詫びについて

公益財団法人東京都保健医療公社 多摩北部医療センター.jpg

多摩北部医療センターにおけるパソコン端末等への不正アクセス被害に関するお詫びについて
平素より東京都保健医療公社多摩北部医療センターへのご理解とご協力を賜りありがとうございます。
このたび、当院の運用しているパソコン端末、又はメールアカウントに対する不正アクセス被害が発生し、当院職員の氏名を使用し、マルウェアファイル(不正かつ有害に動作させることを意図して作成された悪意あるファイル)を添付した、いわゆる「なりすましメール」が送信されていることが判明しました。
現時点で具体的な被害の情報はありませんが、御心配をおかけすることになり、誠に申し訳ございません。深くお詫び申し上げます。
また、万が一多摩北部医療センター等の公社職員を名乗る不審なメールが届いていた場合は、送信元のメールアドレス等をご確認いただき、メールを開いたり返信したりすることは絶対にせずに削除いただきますよう、改めてお願いいたします。
今後は、再発防止に向けて病院職員が一丸となり、患者様と地域の皆様の信頼回復に向けて全力で取り組んでまいります。

公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、メールアドレス等の個人情報の流出と対応について(第一報)
公益財団法人東京都保健医療公社(以下、「公社」という。)が運営する多摩北部医療センターの医師の端末・メールアカウントに対する不正アクセス被害が発生しました。(※1)
不正アクセスのあった端末内の情報を利用し、5 月20 日時点で、都庁メールサーバに対して4件、公社メールサーバに対して3件、その他当該医師とメールの送受信があった方3件のメールアドレスの流出と当該個人に対するスパム攻撃が確認されています。(※2)
これを受け、メールアドレス流出の可能性があるすべての方に注意喚起とお詫びのメールを送付するなどの対応を早急に実施したところです。現時点で具体的な被害の情報はありませんが、引き続き、被害の防止を図るとともに、原因究明と再発防止に努めてまいります。(※3)
関係する皆さまに多大なご迷惑をおかけしておりますこと、深くお詫びいたします。
また、万が一多摩北部医療センター等の公社職員を名乗る不審メールが届いていた場合は、ドメイン等をご確認いただき、メールを開いたり返信したりすることは絶対にせずに削除いただきますよう、改めてお願いいたします。

(※1)情報の流出について
(1)流出した可能性のある情報
① 当該職員のメールボックス内に保存されているメール(件名・メールアドレス・本文・添付
ファイル)
8335 件(受信トレイ389 件、送信済みトレイ5640 件、その他のトレイ2306 件)
② 当該職員の職務用パソコン端末内及び端末から接続可能なサーバ等に保存されている情報
③ 当該職員の個人用パソコン端末内及び端末から接続可能なサーバ等に保存されている情報(個人用パソコン端末から職務用のメールボックスも利用できたため)
(2)患者情報等の個人情報について
(1)①のメールボックス内に保存されていた8335 件のメールのうち24 件
(24 件の内訳)

(※2)今回のスパム攻撃メールの特徴
(1)当該職員が差出人になっているが、実際には職員のアドレスではない。
(2)当該職員に宛てたメールに返信する形式となっている。
(3)メール本文が英文で送付されている。
(4)不正プログラムを実行すると思われるファイルが添付されている。

(※3)本件発覚後の対応
(1)メールアドレスが流出した可能性がある全ての方(8335 件のメールの送信先、受信元のアドレスのうち重複等を除いた1533 件)に対して、注意喚起とお詫びのメールを送付(5 月18 日午前5 時20 分までに対応済み)
(2)(1)のうち、メールアドレス以外の個人情報が流出した可能性のある方全てに対して、電話または郵便でお詫びの連絡を実施(連絡がつかない方を除き対応済み。引き続き連絡を継続中)
(3)多摩北部医療センターの全端末(328 台)についてウイルススキャンを実施した結果、8 台が感染、10 台に感染疑い。これらの感染と本件の関連性は現在調査中。
(4)不正アクセスの原因については現在調査中。全容解明後、適切な対策を実施
(5)全容解明するまでは、外部から職務用パソコン端末を閲覧する機能を制限

【参考】経緯
5/15 17:56 多摩北部医療センターにおいて米国のサーバから不審メールを受信(時刻は受信した病院サーバへの到達時点)
5/16 9:00 頃 公社と都庁において複数の職員が不審メールを受信したことを確認
(セキュリティソフトで防御したことなどにより被害は発生せず)
5/16 9:30 頃 不正アクセスを受けた医師の端末をネットワークから遮断
5/16 12:45 頃 多摩北部医療センター院内LAN の影響調査を開始
5/16 14:30 頃 警視庁に通報
5/16 16:30 頃 警視庁職員、東京都戦略政策情報推進本部及び病院経営本部セキュリティ担当が公社事務局を訪問調査。状況確認を実施
5/16 21:01 東京都戦略政策情報推進本部から送信元IP アドレスの提供があり、公社メールサーバのブロックを実施
5/17 公社において、当該公社職員のメールボックス内を全件確認
5/18 5:20 メールアドレスが流出した可能性がある全ての方に対しメールでの連絡を完了

多摩北部医療センターにおけるパソコン端末等への不正アクセス被害

元患者の電子カルテ不正閲覧 女性看護師懲戒処分

適時調査・個別指導時にもチェックが入ります。要注意!

↓↓↓

個別指導指摘事項「電子カルテ関連」
http://wp.me/p6NPV7-2HW

**************************************

元患者カルテ不正閲覧 女性看護師懲戒処分|NNNニュース
http://www.news24.jp/nnn/news16361589.html

元患者カルテ不正閲覧 女性看護師懲戒処分|NNNニュース.jpg

看護師 電子カルテ私的閲覧.jpg

看護師 電子カルテ私的閲覧2.jpg

看護師 電子カルテ私的閲覧3.jpg

 

本院職員の懲戒処分について 長崎大学病院
http://www.mh.nagasaki-u.ac.jp/kouhou/topics/2019/5/3/index.html

本院職員の懲戒処分について 長崎大学病院.jpg

 

 

*****************************************

(関連)

電子カルテを他人のアカウントで不正アクセス・処方箋発行(向精神薬)の事例

 

不適切な電子カルテ閲覧312回 半数近くは興味本位
https://wp.me/p6NPV7-3×2

訓告処分 別の職員のIDとパスワードを使って電子カルテに不正にログイン
https://wp.me/p6NPV7-3mw

知人女性の電子カルテ不正閲覧 元課長級職位で定年再雇用の市立病院事務員を戒告処分
https://wp.me/p6NPV7-2tZ

*****************************************

医療機関への労基署立ち入り調査 電子カルテのアクセスログが重要に
https://wp.me/s6NPV7-roukisho

電子カルテ不正アクセス時のプライバシー調査(KFF)
https://wp.me/p6NPV7-3YF

個別指導でリハビリ自主返還 電子カルテ操作時間も単位時間に含み不適正認定
https://wp.me/p6NPV7-3qb

診療記録管理ソフト28本を不正使用 約200万円を支払い和解
https://wp.me/p6NPV7-3LA

個別指導指摘事項「電子カルテ関連」
http://wp.me/p6NPV7-2HW

 

元患者の電子カルテ不正閲覧 女性看護師懲戒処分

電子カルテを他人のアカウントで不正アクセス・処方箋発行(向精神薬)の事例

電子カルテ端末から離席時には確実にログアウトを徹底する。ログオフし忘れ防止。

保険医取り消しの厳しい処分事例です。

↓↓↓

保険医の登録の取消について
https://kouseikyoku.mhlw.go.jp/kyushu/houdou/010516houdou.pdf

電子カルテで他人のアカウントに不正アクセス・処方箋発行.jpg

ミラー 010516houdou

診療報酬の不正請求
監査において確認した**歯科医師に係る不正請求の件数及び金額(平成27年3月から平成28年5月)
不正請求額 1名分 レセプト14枚 27,685円

取消処分の主な理由
(1) 不正請求等
① **歯科医師が勤務していた保険医療機関において、電子カルテを使用していた同僚歯科医師の離席中に、ログインした状態の同僚歯科医師のアカウントから自身の診療録に不正にアクセスし、実際には行われていない診療内容を不実記載し、保険医療機関に以下の診療報酬を不正に請求させていた。
地域歯科診療支援病院歯科再診料、再診時歯科外来診療環境体制加算、処方せん料、薬剤料、調剤料、処方料、麻薬等加算(調剤料(入院外))、麻薬等加算(処方料)、調剤技術基本料(その他の患者に投薬を行った場合)
② 上記①のとおり実際には行われていない診療内容を不実記載し、偽造処方箋を作成した後、診療録に記載した処方箋発行記録を削除するとともに、当該偽造処方箋に同僚歯科医師の印鑑を無断で押印し、保険薬局に持ち込み薬剤を不正に受け取っていた。

(2) 禁錮以上の刑に処せられたこと
偽造した処方箋を使用して向精神薬をだまし取ろうと考え、事情を知らない同僚歯科医師がログインした状態のパソコンを操作して自身の診療録に不正にアクセスし、偽造処方箋を作成し、当該偽造処方箋に同僚歯科医師の印鑑を無断で押印し、院外の薬局薬剤師等に対して、真正に成立したもののように装い、向精神薬の購入を申し込み、その交付を受け、もって人を欺いて財物を交付させたとして、平成29年6月23日、那覇地方裁判所において、有印公文書偽造・同行使、詐欺の罪で、懲役2年執行猶予3年の判決を受け、同年7月8日付けをもって、刑が確定している。

監査を行うに至った経緯等
(1) 平成28年3月11日、保険者から九州厚生局沖縄事務所に対し、保険医療機関に勤務する**歯科医師の診療報酬明細書及び調剤報酬明細書を確認したところ、次の事実及び不正が疑われる事案が判明した旨の情報提供があった。
① 重複受診により過量な投薬が行われている。
② 勤務する保険医療機関において短期間に多数の処方箋が出されている。
③ **歯科医師が患者自身であることから、処方箋の発行に関与できる立場であることも推測でき、不正が行われていることも思料される。
(2) 向精神薬の不正使用が疑われたため、九州厚生局沖縄麻薬取締支所に情報提供を行ったところ、向精神薬処方箋を多数回にわたり偽造したとして**歯科医師を書類送致した旨を平成28年10月13日に報道発表し、当該記事が新聞等に掲載された。
(3) 以上のことから、**歯科医師が勤務する保険医療機関において、診療の実態がないにもかかわらず処方箋が偽造され、それに伴う診療報酬(処方せん料等)の不正請求が疑われたため、監査要綱の第3の1及び2に該当するものとして、平成29年10月18日から平成30年3月8日まで計5回、延べ9日間の監査を実施した。

*************************************

ガイドライン違反。

↓↓↓

厚生労働分野における個人情報の適切な取扱いのためのガイドライン等
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000027272.html

医療情報システムの安全管理に関するガイドライン
https://www.mhlw.go.jp/stf/shingi2/0000166275.html
P50
ログイン状態のまま長時間放置したり、特定の端末でログインしただけで、院内の複数の端末にログイン可能となるような運用は認められない。
入力者が端末から長時間、離席する場合には、正当な入力者以外の者による入力を防止するため、クリアスクリーン等の防止策を講じるべきである。

P55
最低限のガイドライン
入力者が端末から長時間、離席する際に、正当な入力者以外の者による入力のおそれがある場合には、クリアスクリーン等の防止策を講じること。

P57
推奨されるガイドライン
離席の場合のクローズ処理等を施すこと(クリアスクリーン:ログオフあるいはパスワード付きスクリーンセーバー等)。
----------------------

診療録等の電子保存ガイドラインVer.3.3
https://www.jahis.jp/standard/detail/id=581
P17
(a) 技術的対策
(ア) クローズ処理等の機能を有することが望ましい。実現することが困難な場合には、OS 附属のパスワード付きスクリーンセーバー等を利用できるように端末を設定すること。
(イ) 医療行為を妨げない範囲で、利用者端末の自動スクリーンロックを設定すること。
(ウ) 利用者が離席する際に、利用者自らがスクリーンロックまたはログアウトできる仕組みを有すること。
(b) 運用的対策
(ア) ログイン中の利用者以外の者が容易にアクセス可能な場所に設置してある端末に関しては、一定期間無操作後の自動ロックを利用するのではなく、離席時に速やかに手動でロックをかけるよう教育し徹底させるよう医療機関等に推奨すること。基本的に一定期間無操作後の自動ロックは補助的に使用することが望ましく、ログイン中のユーザが離席時に明示的にロックすることが望ましい。

電子カルテを他人のアカウントで不正アクセス・処方箋発行(向精神薬)の事例