## Manage My Healthのデータ漏えい後に続く懸念
ニュージーランドで人気のデジタルヘルスプラットフォーム「Manage My Health」に関する最近のデータ漏えいにより、利用者の間で大きな不安が広がっています。同社は、漏えいの影響を受けた人々に対し、詐欺師がオンライン患者ポータルになりすまして連絡を試みている可能性があるとして警告を発しました。
## 影響を受けた利用者への通知の最新状況
Manage My Healthによると、漏えいの影響を受けた利用者の大半にはすでに通知済みです。しかし同社は、この状況を二次的な犯罪者が悪用する可能性があるとして注意喚起しています。Manage My Healthから送られたように見えるフィッシングメールやスパムメッセージが出回る恐れがあると警告しました。
最近の声明で同社は、「二次的な関係者がMMHになりすまし、関与を促すためにスパムやフィッシングメールを送る可能性があることも把握しています。これらの連絡はMMHからのものではありません」と強調しました。これに対抗するため、同社はさらなるなりすましの試みを抑止する選択肢を検討しており、利用者が情報を保護するためのガイダンスも提供しています。
## サイバー攻撃の詳細
昨年末に発生したこの漏えいは、プラットフォームの限定された機能内にある文書への不正アクセスを伴うものでした。サイバー犯罪者は身代金を要求し、機密データをダークウェブに公開すると脅したとされています。もし公開されれば、12万人を超えるニュージーランド国民の医療情報が明らかになる可能性があります。
Manage My Healthによれば、この攻撃によって稼働中のGP(一般開業医)の臨床システム、処方、またはセキュアメッセージングが侵害されたわけではありませんでした。影響は「My Health Documents」セクション内の文書に限定され、レポート、検査結果、ならびにノースランド(Te Tai Tokerau)での医療に関連する退院サマリーを含む一部の臨床文書などが対象でした。
## Manage My Healthが講じた直ちの対応
システム上の異常な活動に気づいた後、Manage My Healthは漏えいが発生した機能を迅速に保護するため行動しました。さらなる不正アクセスを遮断し、インシデント対応計画を開始しました。独立したサイバーセキュリティ専門家が状況評価のために招かれ、漏えいの範囲が確認されました。同社は、プロジェクトは継続中であるものの、漏えいはその後封じ込められ、脆弱性は解消されたと確認しています。
## 規制対応と通知における課題
Manage My Healthは、初動対応により一部の人々に早期に通知が行われたことを認めました。同社は、誤解が生じるリスクがあっても、影響を受けた可能性のある患者へ迅速に通知することの重要性を強調しました。フォレンジック調査の後、漏えいの影響を受けていない人々には後日その旨が通知されました。利用者はManage My Healthアプリにログインすることで自身の状況を確認でき、緑色の「No Impact」バナーが表示されれば影響なしを示します。
同社は、継続的な通知はプロトコルの一部であり、ニュージーランドのプライバシー法(Privacy Act)で定められた規制を順守しつつ、患者とのコミュニケーションを効果的に調整することの複雑さを反映していると述べています。この漏えいは規制当局の注目も集めており、プライバシー・コミッショナー局(OPC)が調査を開始しました。Manage My Healthは、保健機関や法執行機関を含む当局と緊密に連携しているとしています。
## 法的措置とセキュリティ監視
サイバー攻撃への対応として、Manage My Healthは高等裁判所から暫定差止命令を求め、これを取得しました。これにより、第三者が侵害されたデータにアクセスしたり、公開・配布したりすることが禁じられます。同社は既知のデータ漏えいサイトを積極的に監視しており、必要に応じて削除要請を出す準備があるとしています。
セキュリティ強化のため、同社は侵害されたアカウント認証情報の是正、Health Documentsセクションの一時的な無効化、継続的な監視の実装などの措置を講じました。さらに、より広範なセキュリティ改善も進行中であり、インシデントに関する独立調査も継続していますが、この段階では技術的な結果について具体的なコメントはしていません。
## 利用者向けの案内と支援
Manage My Healthは、パスワードやワンタイムのセキュリティコードを求めることは決してないと利用者に再確認しました。同社を名乗る予期しない連絡や、緊急性を煽る連絡には警戒する必要があると強調しています。自分の健康データを所持していると主張する人物から接触を受けた利用者は、応じず、ニュージーランド警察またはManage My Healthのサポートに通報するよう求められています。
身元情報の悪用の可能性を懸念する人々を支援するため、Manage My HealthはIDCAREと提携しました。この提携により、ニュージーランドおよびオーストラリア全域で、無料かつ機密性の高いサイバーおよびアイデンティティ支援サービスが提供されます。
声明の中でManage My Healthは、「当社は顧客およびスタッフのプライバシーを非常に重視しており、本件によりご心配やご不便をおかけしたことを心よりお詫び申し上げます」と述べました。同社は、サイバー攻撃に関する調査が継続する中でも、透明性を最優先にするとしています。
