Oracle Healthがデータ侵害に際して不適切な顧客対応? ~責任逃れの批判を巻き起こした通知~
サイバーレジリエンス※今号は生成AIによってドラフトされた内容を執筆者が編集してお届けしています。
医療データはサイバー攻撃の主要な攻撃対象であり、
その対象は、保有者である医療機関だけでなく管理を委託されているIT事業者にもおよびます。
2025年2月20日、米国Oracle Healthはかつて買収したCernerからのデータ移行サーバーに
対するデータ侵害を認識したと顧客に通知しました。
通知には、侵害が発生したこと、データが流出したことが記載されており、
Oracle Healthは影響を受けた個人とデータの種類を特定するための支援を提供すると述べています。
また、無料のクレジットモニタリングと身元盗難防止サービスの費用を負担し、
侵害通知書のテンプレートを提供することも約束しています。
ここまでは、「よくある(あって良い事ではないですが)データ侵害」の顛末ですが、
今回はその通知方法が顧客からの批判を呼んでいます。
通知書は、Oracle Healthのエグゼクティブバイスプレジデント兼GMである、
Seema Vermaによって署名されていましたが、ヘッダーペーパーには記載されておらず、
影響を受けた顧客はOracle Healthの最高情報セキュリティ責任者(CISO)に
直接電話で連絡するよう指示されています。
これはOracleが旧Cernerからのデータ移行サーバーの侵害との関連を
避けようとしているのではないかとの批判を呼んでいます。
データ侵害を防ぐことも重要ですが、
その後の対応も同じかそれ以上に重要であるとの教訓を示したのが今回の事例と言えます。
今回の事例で言うと、Cernerからのデータ移行サーバーはOracle Health事態が
手掛けたものではないのかもしれませんが一般的には買収した以上、責任はOracle Healthに有ります。
旧Cerner社との買収契約に何らかの免責条項が含まれていたのかもしれませんが、
それであっても、買収したものとしての責任は少なくとも顧客に対しては示すべきではなかったと筆者は愚考します。
※こちらは、執筆時点2025年4月2日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。
弊社の社名となっている「レジリエンス」は「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対してしなやかに粘り強く対応していく立ち位置を意味しています。
目まぐるしく変化する時流の中で、それを見極めつつ流されない解決策を提案致します。
そして、弊社はITインフラとセキュリティのプロフェッショナル集団として多数の実績を誇る
株式会社アイロバと密接なパートナー関係にあります。
同社はWAFのBlueSphereをはじめとした国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の露出状況を把握できるSecurityScorecardの国内代理店でもあります。
【メルマガ監修】
サイバーレジリエンス株式会社 CTO 米沢 和希
■CISSP-ISSAP(情報システムセキュリティプロフェッショナル認定)
■CISA(公認情報システム監査人)
■PMP (プロジェクトマネジメントプロフェッショナル国際資格)
投稿者プロフィール
