医療スタートアップのLyfebin(ライフビン)は、X線写真、MRI画像、超音波画像など数千件の医用画像ファイルを、誰でもアクセスできる保護されていない場所に保管していた。
ロサンゼルスに本社を置くこの医療スタートアップは、医師や医療関係者が医用画像を「安全な環境」と同社のウェブサイトで謳っている場所に保管し、患者や医師たちがどこからでもアクセスできるようにしていた。
しかしながら、実際のところそのファイルはAmazon Web Services(AWS)のバケットに、パスワードも設定せずに保存されていた。ウェブアドレスは誰でも簡単に推測できるもので、簡単にデータにアクセスできてしまう。
保護されずに置かれていたファイルは、2018年9月から2019年10月までの日付のものだ。
我々がセキュリティー上の過失を警告した後、Lyfebinはデータの保護を実施した。
そのバケットには9万3000件以上ものファイルがあった。重複しているものが多いようだが、医療スキャンデータも含まれている。これらのファイルは、医療用画像機器の共通フォーマットであるDICOMで保存されていた。DICOMファイルを開くと、スキャン画像の他に、患者の生年月日や担当医の名前などのメタデータも確認することができる。
何人の患者に影響があるのかという我々の質問に、Lyfebinからの回答はなかったが、匿名の広報担当者は、当該バケットは「テスト用の環境であり、架空のアカウントと架空の患者のアカウントを使って新機能を試していた」と主張した。しかし、その主張を裏付ける証拠は示されていない(この広報担当者の名前を何度も尋ねたが、同社の担当者からの返信はなくなった)。
保護されないバケットの中にあったスキャン映像
「患者の情報をサーバーに取り込む際、私たちは個人が特定できる情報を削除しています」と匿名の広報担当者は言う。「患者の個人情報は漏洩していません」と彼らは補足した。
ファイルの多くは、ある程度まで匿名化されているようだが、いくつかの特定可能な情報が存在している証拠も見つかっている。ファイルのカバーシートにある患者の名前はスクランブル処理がされていたものの、担当医の名前や患者の性別と生年月日などが特定できる。
我々が調べた中には、名前が含まれているものも1つあった。そのファイルには個人を特定するのに十分な情報が含まれていて、公的な記録を使ってその人物を探し出すことができた。本人に連絡をとって聞いてみたが、スキャンを行った正確な日付は憶えていないようだった。
この件について確認をとると、匿名の広報担当者は、そのデータには「架空の患者情報」が含まれているという主張を繰り返し、法的な措置をとるとTechCrunchを脅してきた。
「これを記事にすれば、私たちの法務チームが記事を精査して不正確な記述をすべて洗い出し、あなたとTechCrunchの不法行為に対し、できるうる限り最大の訴訟を起こします」と広報担当者は言った。
Lyfebinは、バケットが野ざらし状態で、誰でもアクセス可能だった期間など、その他の質問には回答しなかった。同社にはセキュリティー上の過失を患者に知らせる予定はあるのか、また州のデータ漏洩通知法にもとづいてこの事件を地元当局に報告する予定はあるのかに関しても、何も述べていない。
画像クレジット:Getty Images
[原文へ]
(翻訳:金井哲夫)