事故から学ぶ

聖マリ医大病院、患者情報18人分が外部閲覧可能に

事故概要

業種 病院
発生時期 未発表
漏えい人数 18
事故概要

聖マリアンナ医科大学病院(川崎市宮前区)は1日、患者18人の氏名や診療情報を含む個人情報が第三者に漏れた可能性があると発表した。新型コロナウイルス感染症の診察も担う救命救急センターに所属する看護師らのグループメールが、外部から閲覧できる状態だった。被害は確認されていないという。
同病院によると、グループメールは看護師が業務連絡用に2019年11月に開設。昨年12月に外部の指摘で判明するまで7人の看護師がやりとりをしていた。メール278通のほか、AI(人工知能)問診アプリで収集された外来患者の問診情報や救命救急センター内の資料データが閲覧可能で、院外から各1件のアクセスがあった問診情報と資料データに患者計18人の情報が含まれていた。
同病院はグループメールを廃止し、対象患者に謝罪した。

引用元 kanacoro

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置
(第22条)委託先の監督 社内規則の整備(自社運用・外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?
委託先に保管管理依頼している情報機器の盗難、紛失防止の点検と棚卸を実施していますか?
情報機器の処分時は、事業者自らデータ消去を確認してから業者に引き渡していますか?

■ 推奨対策

対策:

共有メールサービスは伝達漏れを防ぐために有効であるが、後悔の権限設定と共有メールにアドレスを追加できる人間を絞り込まないと、利益相反する人がいつのまにか追加されていることがあるので、十分な注意が必要である。

具体例:

委託先管理に含まれるのがクラウドサービスである。
クラウトサービス利用時に注意書きを最後まできちんと読むことなく利用を開始したため、想定外の情報共有や公開の設定をしてしまうことがある。
不慣れで引き起こした漏えい事故でも個人情報漏えいに変わりはない。利用前に口コミサイトなどで先人のミスや注意を他山の石として取り込むことである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。