このブログに登場したのは2010年9月13日、実はその前からメールフォームなどを使ってセキュリティ上の問題を指摘させていただいていた、北海道帯広市の北斗病院ですが、ようやく「何が問題なのか」理解できたようで本年の5月頃に対応をされたようです。
一時期は、指摘するたびにデグレードしていくというナンセンスな対応(エンジニアの無知がバレバレ)がなされていたのですが、昨年秋に(バカでも判るように)詳細を書いたダイレクトメールを送付させていただきました。その結果、対応策がようやく理解できたようなのか、理解できてないけどDMに書いてあることをそのまま実行しただけなのか判りかねますが、見かけ上は真っ当な対応をされたようです。
それにしても、この病院のエンジニア、二年近くもの間、一体何をやっていたのでしょうか?インターネットの基本技術であるSSL(Secure Socket Layer)について「キチンと」理解できていれば、すんなりいくはずなのにデグレードを重ねるという大失態を演じたわけですからね。ぶっちゃけ、エンジニアとしての存在価値はないです。
こんな病院がクラウドを導入したら、個人情報漏れまくりで、危なすぎです。先にも述べた通り、SSLというのは基本技術であり情報システム系のエンジニアであれば全員が知っていなければならない技術。それを知らないというのですから、お粗末というより他ありません。
まぁ、ようやく対応されたのでここに報告するわけですが、北海道内の病院の大半は未だにSSL未対応です。こちらからダイレクトメールを送付させていただいた病院は73件にも及びますが、対応されたのは1件だけです。個人情報保護方針(プライバシーポリシー)には「改竄・漏洩に注意する」と書かれているところが多いですが、大半が対応されていません。医療業界は、この現実に誠実に立ち向かい正しい対応をされることを望みます。
ちなみに、先の北斗病院さんからは謝礼の言葉一つも頂いておりません。
それも、どうかと思いますが(苦笑)
コメント