事故から学ぶ

「自宅で勉強していた」患者の個人情報を持ち帰り 医療従事者を懲戒処分

事故概要

業種 行政の職員
発生時期 2021/5/1
漏えい人数 182
事故概要

患者の個人情報が記された資料を自宅に持ち帰るなどした医療従事者を、懲戒処分。
停職5日の処分を受けたのは、静岡県立総合病院に務める男性の医療従事者(23)。
2021年5月から7月にかけ、患者の氏名や年齢、病名などが書かれた資料を自宅に持ち帰ったうえ、シュレッダーにかけるなどの処理をせず、家庭ごみとして捨てていた。
情報の持ち出しは、ごみの分別が不十分だったため、業者に回収されず、袋の中を確認した住民の連絡で発覚した。
この期間に入院していた患者は182人で、「自分が知らない病気などについて、自宅で勉強していた」と話しているという。

引用元 テレビ静岡

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 作業ルールの徹底(保管管理と情報漏えい防止、事務所内での紛失防止)

チェックリストにある要求ルール:

情報漏えい、盗難防止などの教育を定期的に実施していますか?
社内の整理整頓は徹底されていますか?
個人情報が記載されたを書類を、机の上に放置せず、書庫に保管し施錠するなど、漏えいを防止していますか?
事業所外で個人情報が記載された書類やPCなどを置いたまま、離籍していませんか?
個人情報を所定の保管庫から出し入れする際は、管理記録を個人名付きで記録していますか?また保管庫の施錠は2名以上で確認をしていますか?
許可を得ていないUSBなどの簡易型データ保存装置の、PCへの接続制限はかけていますか。
データが保存されているPCやファイルサーバから、USBなどにデータコピーが行われた場合、管理者に警告が出たり、ログが残るようにしていますか?
書類や書類の写しを勝手に持ち出せないように、教育の徹底と抜き打ち検査、書類保管場所の点検を不定期に実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
不正に持ち出した場合の罰則規定を設けていますか?

■ 推奨対策

対策:

個人情報保護法にある安全管理措置の重要管理ポイント違反で内部紛失は発生する。
ルールどおりのことがされたが見落としたというのであれば、慣れによる注意散漫と考えるべきで、それに応じた対策が必要となる。
PCや書類などの保管方法と当該書類を使用するときに発生するリスクが検知できないのは、危機意識がない証明でもある。毎回の施錠管理未実施も問題である。
持ち出しと返却の数量確認を行うのが常識であり、実施していないのであれば手抜きであり、職員も管理職もペナルティを負うべきである。

具体例:

多忙が理由で確認不足になるのはありがちないい訳である。しかし、それで個人情報を漏えいされたら困るので、重要管理ポイントという場面を作り、セルフチェックをさせるのが良い。ここでいうセルフチェックとは自らの仕事に自らコミットすることである。
書類は確実に戻した、PCは戻して管理表にチェックを入れた、というように管理ポイント毎に自分にコミットすることである。
各自がセルフコミットをすることが、組織全体として管理不全の解消になる。
セルフコミットには多忙だからスキップしたという言い訳ができない。あなた自身の仕事がいい加減である、という宣言につながるからである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。