塚本

アークレイ株式会社で情報の持ち出し?今後の対策が重要!


医療機器メーカーである「アークレイ株式会社」で、2019年3月8日に医療機関から提供を受けた患者情報などが不正に持ち出された疑いがあると公表されました。不正に情報を持ちだしたのは、元従業員であると考えられており、書類送検されています。

今回は、そんな「アークレイ株式会社」で情報の持ち出しが行われた原因など、詳しい内容を紹介していくので参考にしてみてください。

アークレイ株式会社とは?

アークレイ株式会社とは、医療機器を中心に製品を開発から生産、セールス&マーケティング、カスタマーサービスまで一貫して提供している企業です。どのような事業を手掛けているのか、詳しい内容を紹介していきます。

・医療用検査システム

診断や治療といった臨床検査用の機器など検査データ管理システムを開発し、生産を実施しています。さらに販売やアフターサポートも充実していることから、医療関係で信頼を得る企業の一つです。

大病院や研究機関向けとしては、高精度で高速大量処理することができる糖尿病検査装置や病検査装置、遺伝子検査装置などを提供しており、様々な医療現場で活躍を見せています。

中小病院やクリニック向けには、臨時検査を支援することができる糖尿病検査装置や血液検査装置、尿検査装置といった製品を提供しているのが特徴です。様々な検査項目を管理し、ネットワークを高知することができるデータ管理システムも提供しているので、安定して運営するサポートを行っています。

患者様向けには、糖尿病患者が自身の血糖値を管理するための血糖自己測定器やスマートフォン用アプリを提供しているのが特徴です。簡単で正確に測定を実施することができるので、安定した品質で活用することができます。

・機能性食材素材

臨床検査機器や試薬開発などの医療分野における専門性を活用することで、機能性食品素材の開発もアークライ株式会社は実施しています。抗糖化やアンチエイジングといった健康効果の分野において、ハーブや果物の成分を利用して製品化を実現しているのが特徴です。

アークレイ株式会社で発生した不正持ち出しの被害

アークレイ株式会社で発生した、元従業員による患者情報の不正持ち出しの被害は、患者情報885件やアンケート調査2,603件などです。アークレイ株式会社の対応としては、元従業員を懲戒解雇することで問題の収拾に努めています。

さらに情報を提供した医療機関や影響を受けた患者に対しては、謝罪を表明していますが、今後の二次被害などが懸念されている状況です。

不正に持ち出したデータ情報については、機密情報を外部端末に転送していたことが発表によって確認されています。持ち出しが発覚したのは、元従業員が退職の意思表示を示したことから、使用端末を調査したところ、機密情報を外部端末に転送した履歴が残っていたためにわかったそうです。

元従業員に事実確認したところ、USBメモリを使用し、情報をコピーしたと供述しています。さらなら余罪が発覚する可能性がありますが、2018年11月には不正競争防止法違反の容疑として元従業員を刑事告訴したことで、今後の発表を待つしかない状況です。

ただ元従業員の私物PC端末を調査しても、外部に書き出されたログは確認されていないので、これ以上の情報拡散とって被害は未然に防ぐことができたことが予想されます。

しかし医療機関において、患者の情報を外部に漏洩することはあってはならない問題です。今回は、事前に元従業員の端末を調査することで持ち出しに対する被害を抑制することが出来ています。この情報が外部に漏洩していた場合は、アークレイ株式会社の信用問題に発展していたことが想定されるので、今後はどのように対策すればいいのか、アークレイ株式会社の情報に対する扱いに注目されているでしょう。

アークレイ株式会社はすでにPマーク取得済み

アークレイ株式会社は、医療機器を製造・販売するにあたり、個人情報保護の管理体制を充実させることが大切と考え、すでにプライバシーマーク(Pマーク)の取得を実施しています。そのため、外部に対してセキュリティ管理は問題ないことを信用してもらう体制は万全です。

しかし個人情報保護の管理体制が万全にあったにも関わらず、元従業員からの不正持ち出しが確認されたため、さらなるセキュリティ体制を強化する必要が出てきました。

セキュリティ管理については、外部からの不正アクセスを防ぐことが出来ても、今回のような内部からの漏洩を防ぐ手段は実施していなかったことが想定されます。元従業員が退職の意思表示を示したことで調査し、不正持ち出しの問題を発見することができましたが、調査が遅れていた場合は持ち出しを許してしまう恐れもあるでしょう。

そのため、アークレイ株式会社に必要な対策としては、患者情報などの内部情報を持ち出しすることができないセキュリティ対策と、従業員に対する個人情報保護の重要性を周知する必要があります。

それらの対策が内部で実施されていることを外部に公表することで、信用を得る一つのきっかけとすることができるでしょう。ただ今回の問題を中心に、今までの管理体制十分だったのか、セキュリティ上の観点が疑われる可能性が出てきます。

他にも管理体制が十分ではなかった場合、さらなら問題の発覚や信用が落ちてしまう恐れがあるので、セキュリティ向上のために新たに個人情報保護の管理体制を整えることが重要です。

個人情報保護の管理体制次第ではPマーク失効

個人情報保護の管理体制が十分であることを証明する「プライバシーマーク(Pマーク)」は、2年に一度の更新を行うことで、継続してプライバシーマーク(Pマーク)が企業に付与されます。

しかし今回のような個人情報保護の管理が不十分であり、問題が発覚した場合は、プライバシーマーク(Pマーク)の失効もありえるでしょう。その場合は、プライバシーマーク(Pマーク)を取得していない時よりも、外部からの信用を失う恐れがあります。

再度プライバシーマーク(Pマーク)を取得することもできますが、その場合は今まで以上にセキュリティ向上を図る必要があるため、従業員の負担や費用が発生する可能性があるでしょう。

重要なのは、個人情報保護の管理体制を十分に行い、問題が発生しないように継続的にプライバシーマーク(Pマーク)を更新することができる体制を整えることです。

一度失った信用を得るには時間がかかります。そのため、プライバシーマーク(Pマーク)を取得した後は、失効しないように注意することが大切です。

また今回のアークレイ株式会社のような内部からの情報漏洩はセキュリティ上、管理することが難しく、防ぐことが困難になります。ただセキュリティを向上させることで、管理を徹底することは可能です。アークレイ株式会社も、今回のような問題を受けてどのように対策を講じるのか、今後の動向次第で信用を取り戻すか重要になってくるでしょう。

まとめ

アークレイ株式会社で発生した元従業員による個人情報の持ち出しは、内部のセキュリティを向上させることで防ぐことができる可能性があります。今回の問題は、二次被害に発展する前に防ぐことができましたが、今後は防ぐことができるかどうかは、対策にかかってくるでしょう。

信用を失わないためにも、プライバシーマーク(Pマーク)が失効されるようなことがないように、個人情報保護の管理体制を整える必要があります。

この記事を書いた人

塚本
塚本
■出身地:福岡県
■趣味:FX、株式投資
■最近のはまり:仮想通貨、ブロックチェーン技術について
■苦手なもの:ねぎ

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にDM発送代行、プライバシーマーク取得コンサルティング事業をしております。
プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 塚本