Cybelagentは12月14日(米国時間)、「More Than 45 Million Medical Images Openly Accessible Online」において、医療データの漏洩に関する同社の最新のレポートを公開した。それによると、X線やCTスキャンを含む4500万個以上の医用画像ファイルが、インターネット上の保護されていないサーバで自由にアクセスできる状態になっていることが発覚したという。その中には、個人の医療情報を含む数百万の機密画像も含まれているとのことだ。

Cybelagentのレポートでは、医療データを送受信するために標準的に使用されているNAS(ネットワーク接続型ストレージ)とDICOM(医用画像機器間の通信プロトコル)を6カ月間にわたって調査した結果がまとめられている。調査に使用したツールでは、約43億のIPアドレスをスキャンし、アメリカやイギリス、フランス、ドイツなどを含む67カ国において、2140以上の保護されていないサーバに4500万を超える固有の医療画像を検出したという。

個人を特定できる情報や身長、体重、診断結果といったPHI(Protected Health Information)などのメタデータも含まれ、暗号化やパスワード保護などがされていない状態で誰でもアクセスできる状態にあると報告されている。

レポートの全文は以下のサイトからダウンロードすることができる(ダウンロードにはメールアドレスなどの登録が必要)。

  • Medical Imaging Files Exposed on Unprotected Servers

CybelAngelでは、医療期間が安全にデータを共有および保存するために、次のような対策を実施するようにアドバイスしている。

  • パンデミックへの対応がセキュリティポリシーに違反していないかを確認する
  • ネットワーク接続された医療画像機器に適切なセグメンテーションを設定する
  • サードパーティのパートナーに対して、必要なポリシーとプロトコルに準拠しているかの監査を実施する