事故から学ぶ

県立こころの医療センター 患者2人の個人情報漏えい 別人のデータ交付 三重

事故概要

業種 行政の職員
発生時期 2021/9/24
漏えい人数 2
事故概要

三重県は11日、津市城山一丁目の県立精神科病院「こころの医療センター」が患者2人の診療記録や検査データを別の患者に渡し、個人情報を漏えいしたと発表した。不正に利用された形跡はないという。
県によると、同病院は今年4月、診療記録の開示などを求めた患者に対し、誤って別の患者の心電図データを交付。データには患者の氏名も書かれていた。
この病院では9月24日にも、患者の診療記録を別の患者に開示。開示請求した患者からの指摘を受けて漏えいが発覚した。これを受けて、過去5年分と本年度分の開示記録を調べたところ、個人情報の漏えいが判明した。
患者の記録を別の患者の診療記録に誤ってとじたことや、診療記録を複数人分まとめて1冊に製本したことなどが原因。県は関係者に謝罪し、漏えいした患者2人の個人情報のうち、1人の診療記録は回収した。もう1人の分も近く請求者から回収する予定。
県立病院課の川端康博課長は「患者や関係者、県民からの信用が失墜し、多大な迷惑とご心配をお掛けすることになり、大変申し訳ない」と陳謝。患者ごとに書類を保管し、別の患者のファイルがある場所では整理しないなど再発防止に努めるとしている。

引用元 伊勢新聞社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第21条)従業者の監督 意識付け教育 ルールの徹底
(誤開示防止)

チェックリストにある要求ルール:

採用の際に守秘義務や罰則規定があることを知らせるなど、従業者に秘密を守らせていますか?
社内にある個人情報を盗み出したり、売買したりしないように従業者に教育をしていますか?
社内にある個人情報を、直接業務に関係ない従業者が閲覧できないようにしていますか?また閲覧を禁止する教育をしていますか?
社内にある個人情報を無断で持ち出したり、コピーしないように、しっかりと指導していますか?
情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?
外部からの個人情報に関する問い合わせに回答しないルールを徹底していますか。
個人情報は取得時にあらかじめ同意を得た利用目的の範囲で使用することを守っていますか。
個人情報に対する従業者の感度を高める教育をしていますか?感度を高めることがリスクに対する気づきを生み、事故を減らすことができます。
個人情報を含む書類を個人情報の所有者(本人)に渡す際、本人確認をし、その上で本人が要求しているもの、あるいは本人に渡すべき書類であることを確認していますか?
同姓同名の人に誤って送信送付したり、あるいは情報を取り違えてPCに入力したり、記載したりしていませんか?
会議資料、セミナ資料など、配布や送付する資料に個人情報が含まれていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
出力して外部に渡す書類に不要な、あるいは間違った個人情報が印字されていないか確認しましたか?

■ 推奨対策

対策:

誤開示(語配布)は、漫然と仕事を進めた結果であるが、再発防止は管理面から考える必要がある。
ホームページへの誤掲載、同姓同名で書類を間違って公布したあるいは送付した、公布文書に余分な起債が残っていた、黒塗り開示したが読めてしまった、など漏えいリスクは多種多彩であるが、対策は「今後は注意します」の一言で終わってしまう。
それでいいのだろうか。

具体例:

多忙が理由で確認不足になるのはありがちないい訳である。しかし、それで個人情報を漏えいされたら困るので、重要管理ポイントという場面を作り、セルフチェックをさせるのが良い。ここでいうセルフチェックとは自らの仕事に自らコミットすることである。
左記に上げた様々な漏えいリスクに対する漏えい防止策に管理ポイントを設定し、ポイント毎に自分で自分に仕事の完了をコミットすることである。
各自がセルフコミットをすることが、組織全体として管理不全の解消になる。
セルフコミットには多忙だからスキップしたという言い訳ができない。あなた自身の仕事がいい加減である、という宣言につながるからである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。