機密性の高い情報を多く扱うクリニック、病院において、度々情報セキュリティ事件の発生が報告されています。
したがって今回は、クリニックや病院の経営者、従業員の方に向けて、実際に発生してしまった情報セキュリティ事件を紹介します。
同じ轍を踏まないように、ぜひ参考にしていただきたいと思います。
クリニック・病院で起こった情報セキュリティ事件①今給黎総合病院・昭和会クリニック情報セキュリティ事件
2017年8月、鹿児島市にある今給黎総合病院と昭和会クリニックにおいて、患者の個人情報が含まれた外部機器が紛失されるという事件が発生しました。
この事件では、医師がデータのバックアップ用として院内で使用していた外部機器(外付けハードディスク)1台を、誤って紛失しています。
外部機器には、患者217名の個人情報が含まれており、具体的には氏名、患部の画像データが含まれていました。
幸いデータの不正使用は確認されませんでしたが、この事件を受けて両院は、対象となる患者に謝罪するという対応をしています。
クリニック・病院で起こった情報セキュリティ事件②県立新発田病院情報セキュリティ事件
2018年9月、新潟県にある県立新発田病院において、患者の個人情報が含まれたデジタルカメラが紛失される情報セキュリティ事件が発生しています。
紛失されたのは、同院の医師が所有するデジタルカメラで、紛失に気付いたのは2018年9月であり、最後に所在が確認されたのは8月31日でした。
このデジタルカメラには、入院している患者の氏名、ID、生年月日、患部の画像などが含まれていましたが、具体的に何件くらい保存されていたかは明らかになっていません。
また医師は紛失に気付いた後、すぐに院長に報告し、デジタルカメラを捜索しましたが、結局見つかることはありませんでした。
同院はこれを受けて、すぐに情報漏えいの対象患者を特定し、事情説明と謝罪を行うと発表しています。
クリニック・病院で起こった情報セキュリティ事件③宇陀市立病院情報セキュリティ事件
2018年10月、奈良県にある宇陀市立病院において、10月1日に導入した電子カルテが利用できなくなるという情報セキュリティ事件が発生しました。
この事件の原因は、電子カルテシステムが“Grand Crab”というランサムウェアの被害に遭い、一部のデータが暗号化されてしまったことです。
ただ同院は、ランサムウェアへの感染を確認した時点で、すぐに抜線などを行った上でシステムを停止し、紙のカルテの使用に切り替えたため、幸い個人情報の漏えいなどは確認されませんでした。
ランサムウェアの被害を公表しない組織もいる中、同院は“公立病院という立場上、問題があれば速やかに対応し、判明した情報は公開しなければいけない”と、公表に踏み切った経緯を説明しています。
クリニック・病院で起こった情報セキュリティ事件④うつのみや病院情報セキュリティ事件
2019年4月、栃木県宇都宮市にあるうつのみや病院において、受診者の個人情報が含まれるリムーバブルディスクの紛失事件が発生しました。
この事件では、2012年、2013年に実施された特定健康診査における受診者約700名分のデータが保存されたリムーバブルディスクが紛失されています。
紛失したのは2019年2月25日~2月27日の間と見られ、具体的には受診者の氏名や年齢、生年月日などが含まれていました。
紛失が判明した後、同院はすぐに関係各所を捜索しましたが、結局見つかることはなく、警察に届出を行っています。
また情報漏えいの対象となった約700名に対して、事情説明と謝罪を行いました。
クリニック・病院で起こった情報セキュリティ事件⑤ごう在宅クリニック情報セキュリティ事件
2012年4月、北海道札幌市にある往診専門診療所である“ごう在宅クリニック”において、患者情報が含まれたパソコンなどが紛失されるという事件が起こりました。
この事件では、医療用麻薬が入った耐火金庫、現金が入った手提げ金庫、さらには患者情報が含まれたノートパソコン2台が紛失されています。
紛失した金庫やノートパソコンは盗難に遭った可能性が高く、ノートパソコンには患者608人分の氏名、住所、電話番号、生年月日、病名のほか、医療保険、介護保険に関する情報が含まれていました。
同院は警察に被害届を提出するとともに対象患者への謝罪を行い、院内のセキュリティ強化に努めると公表しています。
クリニック・病院で起こった情報セキュリティ事件⑥ことに・メディカル・サポート・クリニック情報セキュリティ事件
2016年3月、北海道札幌市にある“ことに・メディカル・サポート・クリニック”において、取引先情報が登録された業務用携帯電話の紛失事件が発生しました。
この事件では、3月1日夕方、同クリニックの職員が訪問診療中に業務用携帯電話を紛失しています。
紛失された携帯電話には、取引先企業の連絡先約50件が登録されていました。
これを受けて、医療法人である新産健会は、クリニックに対して業務用携帯電話の利用停止を命じるとともに、対象となる取引先企業への事情説明と謝罪を行いました。
まとめ
クリニックや病院で起こった情報セキュリティ事件をいくつか紹介しました。
今回紹介した事件のほとんどは、ここ数年の間に起こったものであり、未だに多くのクリニック、病院で情報セキュリティ事件が発生していることがわかります。
またクリニック、病院では、紛失が原因の情報セキュリティ事件が発生しやすいという傾向にありますが、このような不注意によって個人情報が危険にさらされることだけは絶対に避けましょう。
クリニック・病院は個人情報保護の第三者認証制度’’JAPHIC(ジャフィック)メディカルマーク’’などのマークを取得し、院内外にその姿勢を知って頂くのが良いでしょう。
