事故から学ぶ

患者250人の個人情報記録したUSBを紛失 南宇和病院(愛媛県)

事故概要

業種 南宇和病院 愛媛県
発生時期 2019/07/26
漏えい人数 250人
事故概要

県立南宇和病院で入院患者や透析患者あわせて252人の個人情報が記録されたUSBメモリが紛失した。このUSBメモリは、まだ見つかっていない。
紛失したUSBメモリは50歳代の女性看護師の私物で、病院からの許可を得ずに担当している患者の個人情報を資料としてまとめ保存していたもので、透析患者142人と入院患者110人の氏名や年齢、病名などの個人情報が記録されていたという。
女性看護師は、今月22日の午後5時半頃、病院内でUSBメモリの紛失に気付いたがまだ、見つかっていないという。
県立病院を所管する県公営企業管理局は記者会見で謝罪する一方、今後、臨時の県立病院事務局長会議を開催するなどして再発防止に取り組みたいとしている。

引用元 南海放送

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-17 (第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(紛失防止)

チェックリストにある要求ルール:

重要情報を社外へ持ち出す時は許可を得ていますか。
持ち出し時にはパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?
USBメモリのように小さなものは、首からかけるストラップのような大きな印をつけて目立たせるなど紛失防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
紙書類の持ち出し時はカバンに入れ、落下や風による飛散を防いでいますか。
重要情報やPC,USB等が入ったカバン自体を肌身離さず持ち歩いていますか?

■ 推奨対策

対策:

県立病院を所管する県公営企業管理局は臨時の県立病院事務局長会議を開催するなどして再発防止に取り組みたいとしているとしたが、具体性を欠く指導は効果が薄い。
女性看護師は、ある程度、繰り返しまたは日常的にUSBにデータを保存していたと思われる。しかし、業務中に看護師が個人情報をUSBに保存しても、どうどうと行われたら周りの人間は気づけないのが普通である。個人情報保護の繰り返しの教育は必要と言われるが、個人情報の不要な複写は罪である、というところまで踏み込んだ教育が必要である。

具体例:

今回のケースは、病院全体で看護師や職員への再教育と、PCにUSB使用禁止の貼り紙を貼るだけでも防げた可能性もある。
悪意を持った人間への対策は相互チェックの仕組みが必要だが、無知無理解で行ってしまう作業には貼り紙なども有効である。

悪意を持って持ち出す人を防ぐのは難しい。一番効果があるのが「見られている」状態を作り維持することである。

個人情報漏えいは、組織が受ける後遺症が重いこと、つまり職員全体に迷惑がかかることも良く知らしめておく必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。