事故から学ぶ

医師が患者95人分情報入りPC紛失 流出は確認されず、京都府立医大病院

事故概要

業種 京都府立医科大付属病院
発生時期 2020/12/11
漏えい人数 95
事故概要

京都府立医科大付属病院は11日、女性医師が患者95人分のIDや病歴など研究に使う個人情報が入ったノートパソコンを紛失したと発表した。氏名や住所はなく、インターネットなどへの情報流出なども確認されていないという。
同病院によると、医師は府立医大の大学院生で、6日午後1時ごろに研究のため大学に来て、同5時ごろ、パソコンを入れたかばんがなくなっていることに気付いた。パソコンの起動には顔認証やパスワードが設定されていた。
医師は上京署に盗難届を提出し、同病院は患者に文書や電話で謝罪した。

引用元 京都新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-11(第20条)安全管理措置 作業ルールの徹底(保管管理と情報漏えい防止、事務所内での紛失防止)

チェックリストにある要求ルール:

情報漏えい、盗難防止などの教育を定期的に実施していますか?
社内の整理整頓は徹底されていますか?
個人情報が記載されたを書類を、机の上に放置せず、書庫に保管し施錠するなど、漏えいを防止していますか?
事業所外で個人情報が記載された書類やPCなどを置いたまま、離籍していませんか?
個人情報を所定の保管庫から出し入れする際は、管理記録を個人名付きで記録していますか?また保管庫の施錠は2名以上で確認をしていますか?
許可を得ていないUSBなどの簡易型データ保存装置の、PCへの接続制限はかけていますか。
データが保存されているPCやファイルサーバから、USBなどにデータコピーが行われた場合、管理者に警告が出たり、ログが残るようにしていますか?
書類や書類の写しを勝手に持ち出せないように、教育の徹底と抜き打ち検査、書類保管場所の点検を不定期に実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
不正に持ち出した場合の罰則規定を設けていますか?

■ 推奨対策

対策:

紛失と盗難の2種類の原因が発表されているが、無くなった理由がわからない、という状況を示しているのだろう。
複数の人が出入りする研究室は、無人になっても施錠していないことが多いため、無造作に置いた情報機器や書類の紛失事故が時々発生している。情報を扱う人の自覚欠如が原因である。

具体例:

鍵がかかる個人用のキャビネットかロッカーの設置をお勧めする。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。