米国の情報漏えいに学ぶビッグデータのセキュリティ対策：ビッグデータ利活用と問題解決のいま（1/2 ページ）

サイバー攻撃に起因する情報漏えいが発覚した場合、事後対策時にその組織を所管する複数の官庁が関わり、インシデント報告の提出先も多岐に渡るケースが多い。リアルタイム性が要求されるビッグデータのセキュリティではどのように対応すればいいのだろうか。

[笹原英司，ITmedia]

ビッグデータ利活用と問題解決のいまのバックナンバーはこちら

盗難・紛失とサイバー攻撃が原因に

　前回は、米国の健康医療分野のサイバー攻撃に起因する情報漏えい事例を取り上げたが、その後2015年2月に、米国第2位の医療保険者であるAnthem（旧WellPoint）が海外からのサイバー攻撃を受けて顧客約8千万件の情報流出被害が発生したことを公表している（関連記事）。

　下の表は、最近の米国における健康医療分野での大規模情報漏えい事案の例を示したものである。以前から盗難・紛失による情報漏えいのケースが多かったが、最近では外部からのサイバー攻撃に起因するケースが顕在化しているのが特徴だ。

米国の健康医療分野の大規模情報漏えい事案の例（出典：日本クラウドセキュリティアライアンス・健康医療情報管理ユーザーワーキンググループ・2015年2月））

　米国の場合、「医療保険の携行性と責任に関する法律（通称：HIPAA）」に規定された「保護対象保健情報（PHI）」が流出したとなれば、速やかに保健福祉省（HHS）へ報告しなければならない。Anthemは、2013年にHIPAA違反で170万ドルの民事制裁金を科せられたことがある（HHSのプレスリリース）ことから、今回の事案によって再発防止策の有効性が問われることになる。

　Anthemの事案では、暗号化していなかった保存データがサイバー攻撃を受けて医療情報が外部流出したことが報じられた（参考：Wall Street Journalの記事）。HIPAAは、保存データの暗号化を規定しているが、必ずしも全てを強制しているわけではない。これに対して州レベルでは、ニュージャージー州が、2015年から保存する医療データの暗号化を義務付ける基準を施行する（関連法案のPDF）など、暗号化技術への関心が高まっている。

　日本の厚生労働省の「医療情報システムの安全管理に関するガイドライン 第4.2版」では、データ送受信時の暗号化について規定しているが、保存データの暗号化に関わる規定はない。保存データの暗号化はITガバナンスの向上に寄与する反面、業務部門のデータベース管理者やデータサイエンティストが担う分析・運用のパフォーマンスを左右する可能性があるので、悩ましい問題だ。

連鎖反応的に負荷が増すサイバー攻撃後のコンプライアンス対応

　前回の記事で取り上げたCommunity Health Systems（CHS）やソニー・ピクチャーズ・エンタテインメント（SPE）の事例と同様に、Anthemの責任範囲はHIPAAだけに留まらない。

　例えば、国土安全保障省（DHS）や連邦捜査局（FBI）の調査、米国企業改革法（SOX）の内部統制、顧客の損害賠償請求訴訟へのeディスカバリー対応に加えて、保険会社を所管するニューヨーク州金融サービス局（DFS）によるサイバーセキュリティ調査（DFSプレスリリースを参照）、顧客を標的にしたフィッシング攻撃に対する連邦取引委員会（FTC）の注意喚起（FTCブログを参照）など、負荷が増大している。

　このように、サイバー攻撃によるインシデントへの対応を行う過程では顧客、従業員、所管官庁、地域住民など、様々なステークホルダーに関わる法令順守の問題が連鎖反応的に拡大していく。このため、あらかじめ情報セキュリティ管理者や個人情報保護管理者が、業務部門のデータベース管理者やデータサイエンティストと連携して動ける組織体制を構築し、訓練しておかないと危機を乗り越えられない。