PR

 前回は,大学病院の医師のノートパソコン紛失に起因する個人情報流出事例を取り上げたが,医療分野では他にも個人情報の流出が起きている。今回も引き続き医療分野の事例を題材に,盗難・紛失への対応策を考えてみたい。

院外から院内へ広がる盗難による個人情報流出

 2007年8月31日,東京慈恵会医科大学附属青戸病院は,患者情報が記録されたUSBメモリーが盗難に遭ったことを発表した(「患者情報が入ったUSBメモリーの盗難について」参照)。8月23日,同院の研修医のかばんがレストランで盗難に遭ったが,カバンの中には患者の個人情報が記録されたUSBメモリーが入っていた。研修医は自宅で症例検討会資料を作成するために患者データをUSBメモリーに保存し,院外に持ち出したという。

 他方,院内なら安心という認識を覆すような盗難事件も起きている。8月13日,福島県の太田西ノ内病院の医局研究室内で盗難事件が発生し,同院の研修医が福島県立医科大学附属病院での研修期間中にまとめた研究用データ(個人を特定できるデータ63件を含む)を保存したフラッシュメモリも一緒に盗まれたことがわかった(「研究データの格納されたフラッシュメモリの盗難について(お詫び)」参照)。新聞報道によると,個人を特定できる情報が匿名化されていなかったという。

 また,8月14日には国立がんセンター中央病院が,同院内で個人情報が入ったノートパソコン1台を盗まれる事件が発生したことを発表している(「「個人情報が入ったノートパソコン盗難事件」について(お知らせ)」参照)。8月10日の朝,同院内の病理検査室に出勤した職員が,机上にワイヤーで固定していたノートパソコン1台が盗まれていることに気づいて,情報流出が発覚した。

 パソコンには,食道がん患者46件分及び大腸がん患者1496件分のデータ(氏名,性別,患者ID,生年月日,家族におけるがん患者の有無,手術時の所見等)に関する情報が入っていた。セキュリティ確保のため,パスワードを入力しないとファイルを開かない設定をしていたという。

 いくら対策を立てても個人情報流出はなかなかゼロにはならないが,安全最優先の姿勢を堅持しなければ,患者からの信頼を失いかねない。紛失・盗難に起因する個人情報流出も,一個人の問題でなく,患者を中心としたチーム医療全体に関わる問題として認識する必要がある。

個人情報漏えい事故も医療事故も初期の対応が重要に

 8月30日,独立行政法人の情報処理推進機構セキュリティセンター(IPA/ISEC)は8月30日,情報が漏えいしてしまった時,何をすべきかをまとめた対応ポイント集を公表している(「情報漏えい発生時の対応ポイント集」参照)。その中で「紛失・盗難の場合の対応」を見ると,(1)発見および報告,(2)初動対応,(3)調査,(4)通知・報告・公表等,(5)抑制措置と復旧,(6)事後対応の6つの情報漏えい対応の基本ステップについて具体的な対応方法や事例が示されている。

 このうち,紛失・盗難に遭った本人にしか対応できないのが,(1)と(2)だ。どんな場合でも,紛失・盗難が間違いないか確認した上で,「何の情報がどの程度含まれていたのか,暗号化やアクセス制限の有無を確認する」「警察に届け出る」「紛失・盗難された情報にアカウント情報が含まれる場合は,パスワードの変更やアカウントの停止を行う」といった初動対応をとる必要がある。

 ところで医療安全の分野では,ハーバード大学病院が,患者本位の姿勢で対応する方法を示した「医療事故:真実説明・謝罪マニュアル」を作成している。日本でも「医療事故:真実説明・謝罪普及プロジェクト」が,このマニュアルの日本語訳を公開している。

 このマニュアルでは,(1)過失の有無が不明な段階でも,わかる範囲で状況を説明し,責任があることを表明する,(2)遺憾の意を表す,(3)過誤が判明した時は謝罪する,(4)再発防止策を示す,などの対応方法が示されている。時間があったら,この謝罪マニュアルとIPA/ISECの対応ポイント集を読み比べることをお勧めする。個人情報漏えい事故も医療事故も,初期の対応が重要である。リスク管理の観点から見ると,ほかにも相通じるところが多い。また,ITのメリットを生かせるところも多く存在するはずだ。

 次回は,事故寸前の「ヒヤリハット」の観点から,紛失・盗難の個人情報流出対策を考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/