フランスの医療記録50万件が盗まれ、根拠のない言い訳に埋もれてしまった

週末に何か？ 約束していたファイル？あ、ごめんなさい。うっかりリサイクルに出してしまったんです。カモメが舞い降りてきて、手から奪い去ってしまったんです。津波で失われたんです。いや、山火事か、地震か。実は、母が洗濯機に入れてしまったんです。

気分が悪くなってきている。健康に問題がないわけではない*。ただまた仕事の締め切りに間に合わなかっただけで、最近使っていないもっともらしい言い訳を考え出すのに頭がくらくらする。「犬が宿題を食べてしまった」なんて学校を卒業したら終わりだと思うだろうが、いやはや、一世代半も経った今でも私はまだ同じことを続けている。

こういう時、父がよく語ってくれた学生時代の話が思い出される。父のクラスメイトに、授業をサボって保健室に行くために、どんどん奇妙な理由をでっち上げる子がいた。「お腹が痛い！」と甲高い声で叫んでも、彼には到底間に合わなかった。その子は先生に向かって力強い声で「定規を飲み込んだ！」とか「肩が机に挟まった！」とか「椅子やコンパスやブンゼンバーナーに手や足や頭を突き刺した！」とか言っていたらしい。

そういう厚かましさが欠けていると、義務を逃れるためにちょっとした面白い嘘をでっち上げるだけで疲れ果ててしまう。だから体調も悪くなる。11ヶ月も自宅軟禁状態にあるのも、何の助けにもならない。

偶然にも、もう一つの健康・フィットネスアプリをテストしているんです。毎朝、しわがれた声のアメリカ人が鼻を鳴らしながら励ましの言葉を連呼し、一日中スマホに通知が来て、水を何杯飲んだかアプリに知らせるように催促されます。

どうやら、1日に8杯分の水を飲めば健康状態が良くなり、夜もぐっすり眠れるらしい。いや、8リットル？いや、8パイント？私にとっては、プール8杯分に相当するかもしれない。水の量を推測するのが苦手で（そのせいで、学校の物理のテストの点数が悪かった）、それでもがぶ飲みするにはとてつもなく大量の水に思える。

チャレンジの手間を省くため、計量カップから直接飲むようになりました。また、たまに飲むために一日中計量カップを持ち歩くのは面倒なので、寝る直前に8ガロンかそこらの量を一気に飲み干します。

安眠なんてとんでもない。30分おきにトイレに起きる羽目になる。

この病気は婉曲的に「頻尿」と呼ばれています。医者に行って検査をお願いしたいのですが、無駄です。今は水を大量に飲んでいるので、検査室の検査員は私の尿サンプルが90%エビアン、10%水道水だと確認するだけです。

それに、研究所で検査を受けるということは、トルコやロシアのソーシャルメディアに個人情報が漏れてしまう確実な方法です。ここフランスでは、約50万人の医療患者が関与する、同国史上最大規模の顧客記録データ漏洩が発生しました。さらに悪いことに、そのデータはダークウェブの犯罪者に売られたり、身代金目的で保持されたりしたわけではなく、誰でもダウンロードできるように無料で配布されたのです。

患者1人あたり最大60項目の個人データが、今やインターネットの嵐に巻き込まれている。氏名、住所、メールアドレス、携帯電話番号、生年月日、社会保障番号、血液型、処方医、受診理由（「妊娠」「脳腫瘍」「聴覚障害」「HIV陽性」など）など、あらゆる情報が49万1840行ものプレーンテキストに詳細に記されている。

データジャーナリズムはこれ以上ないほど容易であり、実際、新聞社のハッカーたちは現場を取材し、ファイルに記載されている医師に連絡を取り、一部の患者の携帯電話に電話をかけて、データ漏洩についてどう感じているかを尋ねた。医師たちは何も知らず、もちろん、個人情報が盗まれた患者たち（後に判明したように、元国防大臣のエルヴェ・モラン氏も含む）は、そのことを全く知らなかった。

日刊紙リベラシオンの調査によると、何かが起こっているという兆候は、2月12日にセキュリティ企業Zatazのダミアン・バンカル氏のブログで初めて報じられた。ダークウェブ上のスパイたちが、Telegramのトルコ語チャンネルで、フランスの病院から盗まれた医療記録の売却方法について議論を始めた。その後、一部のスパイたちは独自にデータを市場に出そうと試み、議論はロシア語チャンネルにも波及した。

どうやら、そのうちの一人が激怒し、データの抜粋を公開することで復讐しようと考えたようです。これはTelegramの他の小規模な情報チャンネルで急速に拡散され、その後すぐに一般のソーシャルメディアでも共有されるようになりました。

ファイルを詳しく見てみると、結局病院から来たものではないことが分かりました。患者記録に記載されている日付は、医師の診察日ではなく、患者が検体を提出しなければならなかった日付を指していました。つまり、このデータは検体分析を行っていたフランスの生物医学研究所から盗まれた可能性が高いのです。

リベ氏による更なる調査の結果、今回のハッキングは、後にデダルス・フランスに吸収されたメダシス社の「Mega-Bus」と呼ばれるシステムに保存されたデータに関連している可能性があることが判明しました。2009年以降、Mega-Busは更新されておらず、ここ数年、多くの研究機関が他のソリューションへの移行を進めています。盗まれたファイルには、これらの最新システムに入力された患者記録は含​​まれておらず、Mega-Busに入力されたのはアップグレード前のデータのみだったようです。

このことから、いつ、どこで侵入が行われたのか、様々な憶測が飛び交っています。暗号化されていないデータが旧システムから新システムに移された、あの極めて重要かつ最も脆弱な瞬間だったのでしょうか？今のところ、デダラスと研究所は無知を主張し、互いに非難し合っていますが、それも無理はありません。ムッシュ・プロッドの科学者部隊が調査を行う機会を得るまでは、それ以外の情報を期待するのは不公平でしょう。

一方、包括的な個人情報が公開されてしまった患者にとっては、大変な負担となるでしょう。盗まれたパスワードは変更できるし、携帯電話番号も変えられるし、かかりつけ医を変えることさえできる、とよく言われます。しかし、引っ越しをしたり、名前、社会保障番号、病歴、検査結果、処方箋の内容を変えたりするのは、そう簡単にはできません。

確かに、ビッグデータ事業者間で医療記録を共有することはデータが匿名化されているため安全であるというよく引用される神話は、まさにその通りで、まったくのナンセンスであることが再び証明された。

ああ、それでいいアイデアが浮かんだ。

遅れてしまい申し訳ございません。本日提出期限のファイルは、残念ながらサイバー攻撃により消失してしまいました。

[考え…形容詞を挿入]

…前例のないサイバー攻撃。

[もしかしたら他にも？]

…前例のない高度なサイバー攻撃。

ほら。それを信じない人がいるでしょうか?

YouTubeビデオ

* いいえ、まだラボにNo.2を投稿していません。ToDoリストのNo.2です。