珍しい情報漏洩

個人情報の漏洩に関するお詫びとご報告(千葉大),患者診療情報:メールで417人分誤送信 千葉大病院で(毎日),患者417人分の情報漏れ=医師がメール誤送信−千葉大病院(時事ドットコム)。メールアドレスの分布はfax番号よりずっと疎だから,まったくの間違いメールが届いたことは今までなかったが,こういうこともあるのか。千葉大はプロバイダに削除依頼したようだが,ユーザのメールボックスから特定のメールを削除することが許されるだろうか。

関係者(?)の一人です。もちろん当事者ではありません。

昨日はこの件で医局はバタバタしていました。
専門医の試験を受ける際、どのような検査をした事があるかを証明する書類を提出する必要があります。以前は個人情報丸出しでしたが、現在は、患者さんのイニシャルのみを使用するなら、病名や治療方法を提出する事は認められいます。ただし患者さんの量が多くなるとイニシャルのみでは管理できず(患者さんのIDは使用厳禁)書類作成途中では名前の入ったファイルをもって歩くことが多くなります。
以前、こういったデータを収めたHDDやUSBメモリの盗難があり、輸送手段としては比較的安全と思っていたようです。
ただ、同僚と話していて気になったのは、「EXCELのパスワードを設定しておいたら安全だったのに」という言葉です。MSのパスワードがどの程度の強度を持っているのかしれませんが、PGPより安全とは言えないでしょう。以前にも書きましたが、暗号でプロテクトするような考え方は、日常的にコンピュータを使用している医療関係者には無いようです。以前指摘した、健康診断のフロッピーも平分のまま郵送だし、返却時にも消去していません(2重に危険)。少なくともgnupgで暗号化しておけば、「このデータが解読される確率は限りなくゼロです」と発表するだけで済んだでしょうに。
ただ、私がkeyを作成した当時は1024bitで十分だと言われてましたが、現在では4096bitに更新したいのですが、以前のを無効と宣言するしか無いのでしょうか。すると新しい名前はどうなる?

Officeのパスワード

デフォルトは40ビットですのでトリビアルに解けると思います。Schneier on Security: Choosing Secure Passwordsによれば3GHz Pentium 4で35万パスワード試せるとか。2^40/35万=36日ですか,意外とかかるんですね。PGPは900パスワードしか試せないので,40ビットでも39年かかる計算になります。

公開鍵はrevokeするしかしかたがないのでは? ただ,通常のファイルの暗号化は対称鍵ですよね。

後日談

当然の如くプロバイダからは削除を拒否されたそうです。また、送信記録が残っていて送信先を特定できているのですが、相手側の情報は公開されず(これも当然か)、削除依頼のメールを送ったそうですが返事が無いそうです。
ただ、外資系のプロバイダなのでどうやら誤送信先は日本人ではなさそうです。
私の暗号鍵ですが、当面1024bitで使用します。ただ、パスフレーズの長さは暗号強度に影響するのでしょうか。

Re: 後日談

その人も日本語のわけのわからないファイルやメールが飛んできて首を傾げていたりして。
当面1024ビットでいいと思います。秘密鍵にアクセスするためのパスフレーズの長さは鍵強度には関係ないはずです。

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。