事故から学ぶ

患者の個人情報1100件を含むUSBメモリを紛失。江戸川病院

事故概要

業種 病院
発生時期 2020/11/18
漏えい人数 1100
事故概要

同院にて、2016年から2018年に救急で入院した患者の個人情報を含むUSBメモリを紛失した。健康状態など含む一部患者の個人情報が記録されたUSBメモリの所在が、2020年11月以降わからなくなっていることを明らかにした。
同院によれば、2020年11月18日にUSBメモリを紛失したもの。問題のUSBメモリには、2016年から2018年までの間、救急で入院した患者の氏名と健康状態一覧などの情報1100件が保存されていた。
紛失発覚後、紛失した部署内、清掃会社、クリーニング会社に連絡をして捜索を行ったが発見には至っていないが、紛失の経緯からは病院外への個人情報の流出の可能性はないと考えられる。同院は、当該患者に対してお詫びと説明を行った。なお、現時点に二次被害は確認されていない。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-17(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データ、情報機器の紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
PCの画面などを第三者に見える形で使用していませんか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

関係先を調べたがUSBが見つからないので外部流出はない、というのは乱暴な判断である。手を尽くしたが見つからない、という状況は理解できても再発防止には結びつかない。

具体例:

USB自体が廃止できないか考える。
廃止できないのであれば、物理的な紛失防止策を講じる。なくさないように注意しましょう、というのは防止策ではない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。