事故から学ぶ

業務資料を個人間売買の緩衝材に転用 個人情報の漏えい事故に 東邦大学大森病院

事故概要

業種 民間企業
発生時期 2021/8/13
漏えい人数 14
事故概要

個人情報の漏えいに関するご報告
当院の看護師が、個人売買の商品を扱う際、患者様の個人情報を含んだ業務文書を不適切に使用していた事実が判明いたしました。
個人情報が漏えいした患者様およびその関係者様に対し、深くお詫び申し上げます。
当院としては、今回の件を重く受け止め、再発防止に努めるとともに、より一層の個人情報管理の厳格化を進めて参ります。
なお、当該業務文書は既に回収しており、現時点で商品購入者以外への個人情報の漏えいは確認されておりません。
1.事実経過
2021年8月13日に、個人売買の商品の中に、当院に入院していた患者様の個人情報が多数書き込まれている文書が緩衝材として詰め込まれていたとの連絡をいただきました。調査の結果、当院の病棟看護師が無断で業務文書を自宅に持ち帰ったうえ、このような使用をしていたことが判明いたしました。
2.漏えいした個人情報の内容
14名分の患者氏名、病名、病棟ケア内容など(個人により異なります)
3.その後の対応
速やかに個人情報保護委員会に報告し、また、当該患者全員に対して、状況説明およびお詫びの文章を送付させていただきました。
4.再発防止に向けた取り組み
当院全職員に個人情報保護の徹底について、本件を周知確認するとともに注意喚起を行いました。皆様の信頼を回復すべく、教職員の研修、個人情報管理体制の強化をしてまいります。

引用元 東邦大学医療センター大森病院

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-11(第20条)安全管理措置 作業ルールの徹底(保管管理と情報漏えい防止、事務所内での紛失防止)

チェックリストにある要求ルール:

情報漏えい、盗難防止などの教育を定期的に実施していますか?
社内の整理整頓は徹底されていますか?
個人情報が記載されたを書類を、机の上に放置せず、書庫に保管し施錠するなど、漏えいを防止していますか?
事業所外で個人情報が記載された書類やPCなどを置いたまま、離籍していませんか?
個人情報を所定の保管庫から出し入れする際は、管理記録を個人名付きで記録していますか?また保管庫の施錠は2名以上で確認をしていますか?
許可を得ていないUSBなどの簡易型データ保存装置の、PCへの接続制限はかけていますか。
データが保存されているPCやファイルサーバから、USBなどにデータコピーが行われた場合、管理者に警告が出たり、ログが残るようにしていますか?
書類や書類の写しを勝手に持ち出せないように、教育の徹底と抜き打ち検査、書類保管場所の点検を不定期に実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
不正に持ち出した場合の罰則規定を設けていますか?

■ 推奨対策

対策:

東邦大学大森病院は、看護師が患者情報が記載された業務資料を、個人間売買の梱包の際に緩衝材として使用していたことを発表した。受け取った相手が、個人情報の記載を発見、病院に連絡して発覚したという。
職場によっては個人情報を含んだ伝票やメモなど、文書も多く存在しているが、普通の紙くずと同じ扱いではなく、個人情報を含んだ重要なデータとして取り扱う必要がある。今回のように文書を個人使用するために持って帰ることはもちろん、職場でも裏紙として使ったり、ゴミ箱にそのまま捨てておくことは非常にリスクが高い行為である。
少しでも個人情報を含んだ書類は事故につながる可能性があることを再認識し、シュレッダーによる処理など文書の処分方法を定義、徹底しなければならない。

具体例:

個人情報が書かれた書類の破棄方法の誤りがある。
裁断処理の徹底を行うこと。
次に個人情報が書かれた書類を、たとえゴミ扱いのものでも持ち出してはいけない、という基本動作が徹底されていない組織教育の欠陥が見て取れる。
組織の欠陥である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。