Britain

英国の情報コミッショナー事務局(ICO)は、2022年にランサムウェアに襲われた際に数万人の個人情報を保護しなかったとして、Advanced Computer Software Group Ltd(Advanced)に609万ポンド(約774万円)の罰金を科す仮決定を発表した。

イギリスの国民保健サービス(NHS)と契約しているITサービスとホスティングのプロバイダーであるアドバンストは、2022年8月4日に脅威行為者によって侵害された

この事件は、NHS 111を含む数百の公共および民間団体、およびAdastra、Caresys、Odyssey、Carenotes、Crosscare、Staffplan、eFinancialsなどの様々なヘルスケア製品に影響を与えました。

情報漏洩の結果、約83,000人の個人情報が流出し、その中には在宅介護を受けている890人の自宅へのアクセス方法も含まれていた。

影響を受けたすべての人々に通知され、リスクを軽減するための行動をとるよう警告され、今日に至るまで攻撃によるデータがダークウェブ上で公開されることはなかったが、機密データ流出の潜在的な影響は大きい。

「この事件は、情報セキュリティを優先することがいかに重要であるかを示しています

“機密個人情報の管理を失うことは、医療・介護機関に信頼を置くしかなかった人々にとって苦痛であっただろう。”

“かなりの量の機密データや特別な分類のデータを扱うことを信頼されている組織に対して、今回の事件以前の情報セキュリティに対するアプローチに重大な欠陥があることが暫定的に判明しました “と、エドワーズは先進的なセキュリティ姿勢について付け加えた。

ICOは、セキュリティアップデートの適用、多要素認証の有効化、システムに既知の脆弱性がないかどうかのチェックといった基本的な対策を実施することが、機密データを保護する上で不可欠であり、すべての組織が少なくともこうした最低限の手順を踏むことが求められていると指摘している。

今回の仮決定の公表は、すべての組織に対し、セキュリティ上の義務を再認識させるとともに、失敗した場合の潜在的な影響について説明することを目的としている。

とはいえ、7.7ドルの罰金はまだ課せられておらず、ICOは最終決定を下す前にアドバンスド社からのヒアリングを待つとしており、金額は変更される可能性がある。

アドバンスト社が説得力のある反論を行わず、罰金額が774万ドルにとどまった場合、罰金額は被曝者1人当たり93.3ドルに相当し、過去の行為と比較すると非常に高額となる。