ポルトガルで2018年11月14日に報告された事例です。
295名の登録医師がいる病院で、900名の権限のない医師が患者のデータにアクセスできる状態となっていました。病院は保健省(Ministry of Health)に対し、政府が提供したITシステムのセキュリティ不備について相談しておらず、アカウント生成時のルールも作っていませんでした。また患者データへのアクセス権限レベル分けをしておらず、退職した医師がシステムにアクセスする権限も削除していませんでした。これらを受け、DPAは病院が意図的に違法オペレーションを行っていたと結論付けました。
[yuryowaku]
有料会員になって頂くと、以下のコンテンツをご覧いただけます。
- 【Background Facts】 ・・・発生した事象の概要
- 【ビジネスとの関係】・・・本事例に関連してビジネス上留意すべき点
- 【処分時に考慮される内容の理解】・・・監督機関が処分を行う際に考慮する点
- 【情報ソース】・・・本情報のソース