事故から学ぶ

患者情報含むUSBメモリ3本が所在不明 – 大阪市大付属病院

事故概要

業種 地方自治体 大阪市 病院
発生時期 不明
漏えい人数 12人
事故概要

大阪市立大学医学部付属病院において、患者の個人情報が保存された複数のUSBメモリが所在不明となっている。
同院が医師へ貸与していたUSBメモリ3本が所在不明となっているもの。同院によれば、医師が6人分の患者情報が保存されたUSBメモリを紛失したことが1月21日に判明。内部調査した結果、さらに同月25日に別の医師2人についても、それぞれ、5人分、1人分の患者情報が含まれるUSBメモリを紛失していることが明らかになった。
これらUSBメモリには、患者11人に関するCT画像あわせて333枚が保存されており、氏名や年齢、性別、生年月日などが含まれる。
さらに6人分のデータに関しては、パスワードを設定した上で病理結果や病名など含む事後経過のデータを保存。一方、5人分の事後経過データに関しては、システムの都合上、パスワードを設定していなかった。
これらは2017年9月から2018年7月にかけて申請があり、学会発表の資料を作成するために同大医学部の研究室へ持ち出していた。医療データにはパスワードを設定することになっていたという。
同院では、関係者に対して電話や文書を通じて事情を説明し、謝罪。院内や学内に注意喚起を行い、再発防止に取り組むとしている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-17 (第20条)安全管理措置(第21条)従業者の監督作業ルールの徹底(紛失防止)

チェックリストにある要求ルール:

重要情報を社外へ持ち出す時は許可を得ていますか。
持ち出し時にはパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?
USBメモリのように小さなものは、首からかけるストラップのような大きな印をつけて目立たせるなど紛失防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
紙書類の持ち出し時はカバンに入れ、落下や風による飛散を防いでいますか。
重要情報やPC,USB等が入ったカバン自体を肌身離さず持ち歩いていますか?

■ 推奨対策

対策:

管理の導線が切れている可能性が高い。Aで確認し次に改めてBで確認したら数が合わなかった、ということは、Aで確認した後、Bで確認するまでの間で紛失したことを前提に、導線全体の管理を高める必要がある。

具体例:

Aで確認した後、どのように保管すべきか5W1Hで規定する。次に、Bに移動するためにAで管理場所から出した段階で再点検し、移動中の紛失を避けるための措置を行い、Bに到着した段階で再確認する、という動きを整えることが必要である。まるで現金を運ぶようだ、と思われるかもしれないが、漏えい事故での賠償等を考えると、現金と同じ扱いをすべきものが個人情報なのである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。