事故から学ぶ

患者情報約3600件を含むHDDなど紛失 – 宇治市の病院

事故概要

業種 病院 医療法人
発生時期 2019/02/21
漏えい人数 3,605人
事故概要

京都府宇治市の宇治病院において、患者の個人情報が保存されたハードディスクやビデオカメラなどが所在不明になっている。
同院を運営するあじろぎ会によれば、同院リハビリテーション課において保管していたビデオカメラと、データサーバのバックアップ用として使用していた外付けハードディスクが所在不明になっていることが、2月21日朝に判明したもの。
ハードディスクには、同院および平成老人保健施設、宇治病院訪問リハビリテーションにおけるリハビリ関連の書類が保存されており、2014年11月から2019年1月までの患者3605人分の個人情報が含まれるという。
個人情報の内容は患者によって異なるが、氏名や住所、生年月日、病名、要介護認定の状況などが含まれる。またビデオカメラには、患者の映像が記録されていた。同院では盗難の可能性もあるとして、警察へ届けるとともに、対象となる患者に対し説明と謝罪を行うとしている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-11 (第20条)安全管理措置 作業ルールの徹底(保管管理と情報漏えい防止、盗難防止)

チェックリストにある要求ルール:

重要情報を机の上に放置せず、書庫に保管し施錠するなど、重要情報の紛失や漏えいを防止していますか?
パソコン自体に盗難防止装置をつける、不在時は部屋を施錠したり、ノートパソコン鍵のかかるロッカーに収納する、などの盗難防止策を講じていますか?
退社時には、重要書類やノートパソコンは、鍵のかかる引き出しや保管庫に収納するなど、盗難防止対策をしていますか?
保管施錠は2名以上で確認をしていますか?

■ 推奨対策

対策:

作業手順書、マニュアル、管理体制、監査体制の強化が必要である。
探しても見つからないので、誤って廃棄をした可能性がある、という発表を時々目にするが、管理体制の不備にあたる可能性が高い。
個人情報を業務活用した後に、個人情報が記載されている書類を施錠管理する収納庫から「出すとき」「戻すとき」に、管理簿に記載すべきであり、この管理がなされていないと思われる。また、個人情報が記載されている書類等を破棄する場合には、同じように破棄記録簿に記載をしなければならない。この2つがなされていないということは、もともと、個人情報を管理する導線が切れていることになる。「なくさないように気をつけましょう」という宣言では再発防止策にはならない。

具体例:

個人情報の重要性はスローガンとしては掲げれるが、多忙な日常業務の中で扱っていると、その重要性への認識が疎かになってしまうのが、心理である。だからこそ、対策の具体性が企業に求められるのである。
まず、個人情報を取り扱うときには、面倒な管理台帳に、出し入れや利用目的などを、作業者の個人名とともに記録させることで、取り扱う個人の自覚と責任を明示させる大切になってくる。自分の名前を書くことが、出した個人情報を完全な形で元に戻す責任を持たせることである。
廃棄の記録は、自社の管理責任外になることの宣言書にあたるため、正確に記録する必要がある。
今回のケースでは、いずれも不完全であるが「よくわからないので、廃棄したことにする」という回答になっている。皆さんはこの管理体制をどう考えるだろか。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。