脅迫：データセキュリティーがFBIの事件に？
（2008/12/05公開）

脅迫：データセキュリティーがFBIの事件に？

　自社の名前が犯罪のニュースに登場することを望む会社はないでしょう。5,000万人を超える会員を抱える会社なら、なおさらです。

　セントルイスに本社を置く大手薬剤給付管理会社であるExpress Scripts社は、顧客記録と医療情報の一部を暴露するという脅迫状を受け取りました。正常な企業なら当然の行動として、同社は連邦警察に連絡しました（同時に、顧客への対処を行うためリスクコンサルタントにも連絡しました）。

　St. Louis Business Journalで最近報道されたニュース（http://stlouis.bizjournals.com/stlouis/stories/2008/11/03/daily58.html）によると、Express Scripts社は2008年10月初めに差出人不明の脅迫状を受け取り、その後で影響を受ける顧客への通知を行い、事件についてユーザーに通知するための特別なWebサイトまで作成しました。

　Express Scripts社がリスク管理や犯罪組織の特定を行う企業（この場合、Marsh & McLennan社の傘下のKroll社）と契約して、影響を受けた顧客に対応したことについては、称賛に値します。しかし、業務モデルの中核として顧客データを保存している企業がハッカーにより脅かされることは、非常に一般的な事件となりつつあります。企業の給付プログラムがこうした医薬品管理サービスを使用する理由はコスト削減のみです。そうしたサービスで顧客データの最も重要な要素が保護できないのであれば、コスト削減に伴う代償がどのようなものなのか疑わざるを得ません。現在のところ、Express Scripts社は顧客サポートサイトに次のように掲載しています。


　Kroll社より提供された事例調査結果に基づいて、Express Scripts社は、ID盗難が正当に認められたケースすべてについて、Kroll社からID回復サービスを提供します。回復サービスには、詐欺行動の調査、詐欺に関する警告、影響を受けた金融機関、該当する法執行または規制団体、クレジットカード会社との相互連携、必要な書類の準備が含まれます。被害者を担当する調査員は変更されず、問題が解決されるまで個人と直接共同で作業します。

　Express Scripts社は、この状況がクライアントや会員に引き起こす懸念を認識し、会員のプライバシーおよびセキュリティーを安全に守るために力を注ぎます。Express Scripts社がKroll社を通して提供するこれらのサービスをご利用になるには、1-866-795-9350 (編集注:米国への通話になります)にお電話ください。



　この事例は、同社のビジネスモデルに欠陥があることを示すわけではありません。しかし、同社のITインフラストラクチャとリスク管理の実践に根本的な見直しが必要であることを意味しています。医療データのセキュリティーを保護するための国のコンプライアンス基準は、Express Scripts社の顧客を守ることができたでしょうか？

　この議論には、まだ結論が出ていません。今のところは、ハッカーが常に勝利し続けている理由についてよく考えるのが唯一の対策です。

Copyright © 2008 Ziff Davis Enterprise, Inc.
Originally appearing in the U.S. Edition of Baseline. All Rights Reserved.