近年、医療機関における個人情報漏洩事件が相次ぎ、その影響は計り知れないものとなっています。医療機関は患者の診療情報や個人データなど、多くの機密情報を管理しており、その漏洩は患者のプライバシーを脅かすだけでなく、医療機関自体の信用にも深刻な打撃を与えます。

本記事では、過去に発生した医療機関の主な情報漏洩事件を振り返り、発生原因や再発防止策を探ることで、今後の対策に役立てるためのポイントを考察します。

医療機関の情報漏洩件数

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が2019年に公開した「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~」によると、2018年に発生した個人情報漏洩件数は443件でした。漏えい人数は561万3,797人で、想定損害賠償総額は2,684億5,743万円にのぼります。漏洩件数を業種別で見てみると、「医療・福祉」関係の情報漏洩は28件で、全体の6.3%となっています。情報漏洩につながった原因では、「紛失・置き忘れ」「誤操作」「不正アクセス」が上位を占めています。

医療機関では、院内の診療情報を外部と共有したり、インターネットを利用した情報収集、グループウェアやクラウドサービス、情報システムの利用など、さまざまな院外ネットワークとの接続を行っています。院内に保管されている機密情報や個人情報の取り扱いには細心の注意を払わなければなりませんが、外部事業者や職員の誤操作・データ紛失、あるいはサイバー攻撃の被害に遭った場合、医療機関にも情報漏洩のリスクがあります。過去の情報漏洩事件を参考に、医療機関における個人情報の取り扱いについて改めて考えてみましょう。

医療機関の重大な情報漏洩事件5件

情報通信技術の発達などにより、医療機関における情報漏洩事件は増加傾向にあります。過去5年以内に発生した医療機関の情報漏洩事件のうち、規模の大きなものを5件ご紹介します。

1.横浜市大病院|メール誤送信

2019年7月24日、横浜市立大学附属病院泌尿器科における臨床研究のための患者情報3,411件(3,275名分)がメール誤送信により漏洩しました。個人情報には、氏名、院内ID、生年月日、性別のほか、初回手術施行日や腫瘍症状、手術後の治療、再発の有無等が含まれていたということです。病院の研究計画では、データ収集に際して個人情報を削除することが規定されていました。

病院では第三者委員会による調査を実施し、再発防止策として、個人情報取り扱いに関するガイドラインやマニュアル、モニタリング体制の見直し、研修体制の充実、クラウドシステムやファイル転送システムの導入などを挙げています。

参照:臨床研究におけるメール誤送信によって患者情報が漏えいした件に関する第三者調査委員会の調査結果について | YCU 横浜市立大学

2.長野・相澤病院|データ不正持ち出し

長野県松本市の相澤病院は、2022年5月9日に元職員が患者の個人情報や医療情報、病院の法人情報など計3,137名分(うち亡くなった方の情報868名分)を不正に取得し、その後外部へ漏洩していたことを明らかにしました。病院の調査によると、元職員は業務用フォルダの保存データを不正にコピーし持ち去ったということです。漏洩したデータのなかには、患者の住所・氏名・生年月日などの基本的な識別情報、各種医療情報、家族情報等が含まれていました。

再発防止策として、個人情報の取り扱いの厳格化を全職員へ周知徹底すること、研修や管理体制の再点検と見直しを行うことを発表しています。
参照:患者さん個⼈情報等の漏えい(不正取得)について(お詫び)|社会医療法⼈財団 慈泉会 相澤病院

3.岡山大学病院|フィッシング詐欺によるデータ漏洩

岡山大学病院は、2021年7月23日に医師が個人使用のクラウドサービス用IDとパスワードをフィッシング詐欺により窃取され、当該IDとパスワードで紐づけられた個人のクラウド上の保存データ等にアクセスできなくなったことを明らかにしました。医師は規定に反して個人利用のクラウドサービスに患者情報を保存しており、個人情報を含む269人分の患者情報が攻撃者に閲覧可能な状態になったということです。病院は情報管理体制に不備があったことを認め、全職員への個人情報の管理及び情報セキュリティ意識に関する指導を徹底して再発防止に努めるとしています。
参照:フィッシング詐欺による患者情報漏洩インシデントの発生について|岡山大学病院

4.近畿大学病院|電子カルテの動画撮影データ漏洩

近畿大学病院は、2022年11月5日に受付業務を委託する企業の元社員が、患者の診療情報を記載した電子カルテ画面を私用スマートフォンで動画撮影し、SNSを通じて友人へ送信していたことを明らかにしました。元社員、患者、送信先の人物はいずれも友人関係にありましたが、元社員と送信先の人物はそれぞれの友人や家族にも情報を漏洩していたということです。

病院は元社員の所属企業に対し再発防止措置の遵守徹底を求めるとともに、業務委託契約の終了を決定。再発防止策として、業務従事中の私的な通信機器の所持を禁止、個人情報保護に関する取り扱い注意事項の徹底と研修会の実施などを挙げています。
参照:近畿大学病院で発生した診療情報の流出事案について|近畿大学病院

5.国立病院機構京都医療センター|情報漏洩見返りの収賄

国立病院機構京都医療センターの外科診療科長の医師は、2022年3月18日、主治医として担当していた会社役員の男性に患者情報を漏えいする見返りとして、現金150万円を受け取った疑いで書類送検されました。医師は、患者情報の漏洩のほか、会社役員男性の親族らの診療順を繰り上げたりする便宜などをはかっていた疑いが持たれています。漏洩した情報のなかには、別の患者の病状や治療に関するものが含まれており、医師は7回にわたって電子カルテを閲覧していたとされています。ほかにも複数の患者情報を伝えていた疑いがあり、詳しい経緯を調べているということです。
参照:患者情報漏えい見返りに150万円受け取った疑い 国立医療センター医師を書類送検|京都新聞

医療機関の情報端末紛失事件3件

医療機関における情報端末紛失事件も発生しています。ここでは、被害が甚大だった事件を3件ご紹介します。

1.量子科学技術研究開発機構のQST病院|USBメモリ紛失

2022年10月18日、国立研究開発法人量子科学技術研究開発機構のQST病院は、病院に勤務する医師が、患者情報3,145名分、当該病院以外の患者情報105名分の入ったUSBメモリを紛失していたことを公表しました。患者情報には氏名や病名、治療情報などが含まれており、生年月日や居住地域が含まれているものもあったということです。保存の必要のない個人情報は削除すること、USBメモリ内の情報に暗号化などの措置を行うことが病院の医療情報セキュリティ対策基準で定められていましたが、医師はこれに反してデータを保存していました。

病院は再発防止策として、セキュリティ対策基準の改訂、USBメモリやパソコンの利用履歴などを管理、居室の入退室の電子管理や防犯対策の強化などを挙げています。
参照:QST病院内における個人情報を含むUSBメモリの亡失について(第1報)|QST病院
QST病院内における個人情報を含むUSBメモリの亡失について(第2報)|QST病院

2.公立置賜総合病院|USBメモリ紛失

山形県にある公立置賜総合病院では2023年3月3日、歯科口腔外科に勤務する歯科医師が、患者情報35,892名分の入ったUSBメモリを紛失していたことを明らかにしました。紛失したUSBメモリのなかには、2000年11月から2022年12月までの歯科口腔外科受診の患者の患者ID、氏名、性別、居住市町、初診日、病名、入院治療の有無などのデータが含まれていました。USBメモリやデータにはパスワードロック設定が行われておらず、これは院内規程違反に該当するということです。

病院は再発防止に向けた取り組みとして、規程の更なる周知徹底を図るとともに、全職員を対象とした情報セキュリティ研修の実施を決めています。
参照:公立置賜総合病院における個人情報を記録したUSBメモリの紛失について|公立置賜総合病院

3.松下記念病院|ノートPC紛失

パナソニック健康保険組合の松下記念病院は2021年2月24日、1,971名分の患者情報が含まれたノート型パソコン1台が紛失していたことを明らかにしました。紛失したノートPCには、患者のID、氏名、生年月日、性別、年齢のほか、患者の特定部位についての「撮影画像データ」も含まれていたということです。

病院は被害者らと個別に連絡を取り、書面にて謝罪する方針を示し、再発防止に向けて個人情報に対する意識をさらに高めていくことを決めています。
参照:松下記念病院でノートパソコン1台紛失、患者1,971名の情報記録|CyberSecurity.com

医療機関で行うべき情報漏洩対策とは

個人情報を取り扱うことの多い医療機関では、意図せず情報を漏洩しないために細心の注意を払う必要があります。各医療機関において定められているセキュリティ対策マニュアルや指針を順守することは大前提ですが、医療機関で働く一人一人が常日頃から個人情報の取り扱いやルールを意識しておくことが大切です。

個人情報の持ち出しや安易な放置は避ける

情報漏洩を防ぐ最大の手段は、情報そのものを外部へ持ち出さないことです。個人情報をUSBメモリで持ち出したりクラウドなどへコピーする際には、それがなぜ必要なのか、どうしても必要なのかをよく考え、必要最低限のもののみを持ち出すようにしましょう。

どれほど個人として注意を払っていても、気づかないうちにUSBメモリやPCを紛失していたり、不正アクセスによって情報が故意に流出させられることも考えられます。必要な情報を使用し終わったらすぐに削除するようルールを徹底し、個人情報を安易に放置しないよう注意することも大切です。

パスワードロックやセキュリティソフトを導入する

やむを得ない事情で個人情報を外部へ持ち出す必要があるときは、パスワードロックで第三者に情報を見られないようにしたり、セキュリティソフトを導入して外部からの侵入をブロックするなどの対策を行いましょう。

個人情報が万が一外部から閲覧できる状態になってしまった場合でも、ロックがかかっていれば情報漏洩を未然に防げるのです。

セキュリティポリシーの見直しと強化

医療機関における情報漏洩を防ぐためには、セキュリティポリシーの定期的な見直しと強化が不可欠です。既存のポリシーを徹底的に再評価し、今回の漏洩事件で浮かび上がった脆弱性や課題に対応できるよう改訂することが求められます。この見直しでは、情報の分類や取り扱い方針、アクセス権限の設定、暗号化の基準、外部デバイスの使用制限など、幅広い分野を網羅した検討が必要です。

さらに、クラウドサービスの利用やリモートワークといった新しい働き方に対応したセキュリティガイドラインを組み込むことも重要です。改訂したポリシーは、経営陣の承認を経て、全職員に対して適切に周知し、徹底する必要があります。また、定期的にポリシーの運用状況を監査し、必要に応じて更新を行うなど、継続的に改善していく体制を整えることが大切です。

セキュリティポリシーは、組織のセキュリティ文化の基盤となるものであり、強化することで長期的なセキュリティの向上が期待できます。情報セキュリティポリシーの作成方法やそのポイントについて、より詳しい資料もご活用ください。

「情報セキュリティーポリシー」とは? | 漏洩チェッカー

まとめ

今回ご紹介した医療機関の個人情報漏洩事件は、すべて過去5年以内に起こったものです。個人情報を取り扱う機会の多い医療機関が、どれほど情報漏洩のリスクにさらされている状況であるかがよく分かります。

医療機関の個人情報漏洩を防ぐためには、そもそも情報そのものを持ち出さないこと、持ち出す際にはロックやセキュリティソフトを導入することが大切です。一人一人がセキュリティ対策を順守し、個人情報を漏洩しないよう細心の注意を払うことを心がけましょう。

低コストでセキュリティ対策を始めるなら

  • 「セキュリティ対策が求められているが、予算が限られている」
  • 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「漏洩チェッカー」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点も「漏洩チェッカー」の特徴です。

まずは無料で資料をダウンロードしてお確かめください。

漏洩チェッカー:https://stmn.co.jp/roei-checker/
運営会社:株式会社スタメン(東証グロース市場4019)

著者情報

漏洩チェッカー 編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

漏洩チェッカーは、株式会社スタメンが運営する、情報セキュリティマネジメントシステム(ISMS)およびプライバシーマーク(Pマーク)を取得しているクラウドサービスです。東京証券取引所グロース市場上場。