こんばんは。今回は気になるネタがありましたので、若干時間は経ってますが取り上げました。セキュリティネクストの記事からです。

www.security-next.com

　東京女子医科大学での情報漏洩だそうです。退職した医師が過去に診ていた患者の個人情報を不正に持ち出していたということのようです。情報セキュリティ面的には退職者のアカウントは退職後速やかに削除がスジです。が、このへんも医療機関の特殊性があると考えます。医師に関しては、退職後も一定期間電子カルテを参照できるケースがあるようです。診療上の都合で患者情報を参照する必要がある場合がありますので、そのへんはやむなしな面があります。犯人はそのあたりの事情を悪用したことも考えられそうです。

　USBメモリの利用が認められていたのだろうと推測します。管理されたUSBメモリしか使えないようになっていたのか、そうなってなかったのかはここからは推測出来ません。いずれにせよ、不正に持ち出し可能なルート（仕組み）が存在したということになります。単純に穴を塞げばいいのかというと、そういう話ではなく、「運用でカバー」という発想は止めて、それなりのコストをかけた対策をすべきでしょうね。性善説は通用しないと考えた方が良さそうですね。