顧客の個人情報漏えい事件は、さまざまな業界で発生しています。
中でも医療介護業界は、多くの病院が患者の個人情報漏えい事件に悩まされています。
今回は、実際に患者の個人情報漏えい事件を起こしてしまった事例を紹介します。
医療介護業界で活躍する方々に、ぜひ参考にしていただきたいと思います。
【医療介護業界】患者の個人情報漏えい事件①大阪大学医学部付属病院
2017年6月、大阪大学医学部付属病院において、患者の個人情報漏えい事件が発生しました。
この事件は、病院の非常勤医師の個人アカウントが不正アクセスの被害に遭ってしまったことが原因です。
この不正アクセス被害により、メールサーバにおける患者の個人情報220人分に漏えいの可能性があると発表されています。
またサーバに不正アクセスされた回数は6回にも上ります。
6回のうちすべてが中国からの不正アクセスであり、個人情報の悪用被害は確認されていないものの、大阪大学が患者に謝罪する事態に発展しています。
漏えいの可能性がある患者の個人情報には、患者の年齢や治療状況などが含まれており、220人分のうち149人分には氏名も含まれていました。
非常勤医師の助教がメールで送信していた患者の個人情報には、パスワードが設定されていなかったため、これだけ規模の大きい情報漏えい事件に発展してしまいました。
大阪大学はセキュリティ体制の強化として、個人情報の適切な管理方法の周知、パスワード設定の義務付けなどの取り組みを発表しています。
【医療介護業界】患者の個人情報漏えい事件②北里大学病院
2018年7月、北里大学病院において、患者の個人情報漏えい事件が発生しています。
患者の個人情報が入っている可能性のあるUSBメモリを紛失したことが、この漏えい事件の原因です。
病院の従業員が、6月に個人で所有しているUSBメモリを使用して以来、行方がわからなくなってしまいました。
6月にUSBメモリを使用した際、患者の個人情報を取り扱う業務はされませんでした。
ただ、従業員の自宅にあるパソコンに患者の個人情報を活用した履歴が見つかったため、紛失したUSBメモリにも同じようなデータが含まれている可能性があると判断されています。
USBメモリには、北里大学病院で脳神経外科の治療を受けた患者の個人情報約50人分が入っている可能性があり、個人情報には氏名や患者番号、疾患名などが含まれていたと言います。
こちらの事件でも悪用被害は確認されませんでしたが、USBメモリの管理体制の甘さが、患者の個人情報漏えい事件に発展してしまった1つの事例です。
またUSBメモリにはパスワードが設定されておらず、北里大学はUSBメモリに保存されたデータの管理体制を見直すと発表しています。
【医療介護業界】患者の個人情報漏えい事件③京都大学医学部付属病院
2016年9月、京都大学医学部付属病院の院内で、患者の個人情報漏えい事件が起こりました。
患者の個人情報が記録されたSDカードを研修医が紛失したことが原因です。
研修医は、別の研修医にデータを渡そうとパソコンの上にSDカードを置いていましたが、そこで確認されたのを最後に行方がわからなくなっています。
患者の個人情報には、患者の氏名、顔や手術中の写真が含まれており、漏えいの可能性があるのは最大138人分にも上ります。
紛失した情報の二次被害は報告されていないものの、研修医の迂闊な行動が巻き起こしてしまった患者の個人情報漏えい事件だと言えるでしょう。
京都大学医学部付属病院はこの事件の発生を受けて、個人情報が漏えいした可能性のある患者に電話・書面で謝罪し、事情を説明しています。
【医療介護業界】患者の個人情報漏えい事件④徳島市民病院
2018年11月、徳島市民病院において、患者の個人情報漏えい事件が発生しました。
当病院の発表によると、患者の個人情報が含まれているポータブルハードディスクを紛失したことが、この情報漏えい事件の原因です。
当医院の手術室において使用されていたポータブルハードディスクには、患者の氏名や住所、IDといった個人情報23人分が含まれていました。
また当医院の婦人科における、腹腔鏡下手術の動画37本も含まれていたといいます。
手術室では毎回入退室の記録が義務付けられていたものの、ハードディスクが紛失してしまったために、その管理体制の甘さが問題視されることになってしまいました。
徳島市民病院は事件後、対象となる期間中に手術室に出入りした人物に対して、聞き込み調査を行っています。
ただ総勢200名近くに聞き込みを行ったものの、結局紛失させた人物の特定には至っていません。
また徳島市民病院の主治医は、被害に遭った患者に対してダイレクトに連絡を取り、謝罪と事情の説明をしています。
そして今後の対策として、個人情報保護に関するセミナーなどで注意喚起をすると発表しています。
【医療介護業界】患者の個人情報漏えい事件⑤東京歯科大学市川総合病院
2015年2月、東京歯科大学市川総合病院において、患者の個人情報が漏えいする事件が起こりました。
当病院の院内において、患者から預かった問診票や同意書、診療情報提供書など合わせて126人分が紛失されています。
これらの患者の個人情報を電子文書として保存する手続きを行ったのち、原本が行方不明になったとのことです。
院内の捜索や従業員への確認作業が行われたものの、紛失した原本が見つかることはありませんでした。
業務処理の状況から推測するに、患者の個人情報の原本は、他の書類と一緒に廃棄され、焼却された可能性が高いとされています。
個人情報の悪用被害は確認されなかったものの、病院の信頼性を大きく落としてしまう事件に発展してしまいました。
東京歯科大学市川総合病院は、被害に遭った患者に個別に謝罪するとともに、患者に今後不利益が生じることはないと説明しています。
また今後患者の個人情報漏えい事件に繋がらないように、書類の受け渡し方、または保管方法などの事務処理プロセスを改善すると発表しています。
まとめ
今回紹介した患者の個人情報漏えい事件はほんの一握りです。
不正アクセスなど外部からの攻撃が原因の事件と比べ、管理体制の甘さが原因で発生した事件の多さが目立ちます。
管理体制の甘さを改善するために、病院や介護施設が取得できる個人情報保護の第三者認証制度“JAPHICジャフィックメディカルマーク”等の取得を目指せば、必然的に個人情報漏えい事件を防ぎやすくなるでしょう。
