医療機関の情報漏洩件数
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が2019年に公開した「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~」によると、2018年に発生した個人情報漏洩件数は443件でした。漏えい人数は561万3,797人で、想定損害賠償総額は2,684億5,743万円にのぼります。漏洩件数を業種別で見てみると、「医療・福祉」関係の情報漏洩は28件で、全体の6.3%となっています。情報漏洩につながった原因では、「紛失・置き忘れ」「誤操作」「不正アクセス」が上位を占めています。
医療機関では、院内の診療情報を外部と共有したり、インターネットを利用した情報収集、グループウェアやクラウドサービス、情報システムの利用など、さまざまな院外ネットワークとの接続を行っています。院内に保管されている機密情報や個人情報の取り扱いには細心の注意を払わなければなりませんが、外部事業者や職員の誤操作・データ紛失、あるいはサイバー攻撃の被害に遭った場合、医療機関にも情報漏洩のリスクがあります。過去の情報漏洩事件を参考に、医療機関における個人情報の取り扱いについて改めて考えてみましょう。
医療機関の重大な情報漏洩事件5件
情報通信技術の発達などにより、医療機関における情報漏洩事件は増加傾向にあります。過去5年以内に発生した医療機関の情報漏洩事件のうち、規模の大きなものを5件ご紹介します。
1.横浜市大病院|メール誤送信
2019年7月24日、横浜市立大学附属病院泌尿器科における臨床研究のための患者情報3,411件(3,275名分)がメール誤送信により漏洩しました。個人情報には、氏名、院内ID、生年月日、性別のほか、初回手術施行日や腫瘍症状、手術後の治療、再発の有無等が含まれていたということです。病院の研究計画では、データ収集に際して個人情報を削除することが規定されていました。
病院では第三者委員会による調査を実施し、再発防止策として、個人情報取り扱いに関するガイドラインやマニュアル、モニタリング体制の見直し、研修体制の充実、クラウドシステムやファイル転送システムの導入などを挙げています。
参照:臨床研究におけるメール誤送信によって患者情報が漏えいした件に関する第三者調査委員会の調査結果について | YCU 横浜市立大学
2.長野・相澤病院|データ不正持ち出し
長野県松本市の相澤病院は、2022年5月9日に元職員が患者の個人情報や医療情報、病院の法人情報など計3,137名分(うち亡くなった方の情報868名分)を不正に取得し、その後外部へ漏洩していたことを明らかにしました。病院の調査によると、元職員は業務用フォルダの保存データを不正にコピーし持ち去ったということです。漏洩したデータのなかには、患者の住所・氏名・生年月日などの基本的な識別情報、各種医療情報、家族情報等が含まれていました。
再発防止策として、個人情報の取り扱いの厳格化を全職員へ周知徹底すること、研修や管理体制の再点検と見直しを行うことを発表しています。
参照:患者さん個⼈情報等の漏えい(不正取得)について(お詫び)|社会医療法⼈財団 慈泉会 相澤病院
3.岡山大学病院|フィッシング詐欺によるデータ漏洩
岡山大学病院は、2021年7月23日に医師が個人使用のクラウドサービス用IDとパスワードをフィッシング詐欺により窃取され、当該IDとパスワードで紐づけられた個人のクラウド上の保存データ等にアクセスできなくなったことを明らかにしました。医師は規定に反して個人利用のクラウドサービスに患者情報を保存しており、個人情報を含む269人分の患者情報が攻撃者に閲覧可能な状態になったということです。病院は情報管理体制に不備があったことを認め、全職員への個人情報の管理及び情報セキュリティ意識に関する指導を徹底して再発防止に努めるとしています。
参照:フィッシング詐欺による患者情報漏洩インシデントの発生について|岡山大学病院
4.近畿大学病院|電子カルテの動画撮影データ漏洩
近畿大学病院は、2022年11月5日に受付業務を委託する企業の元社員が、患者の診療情報を記載した電子カルテ画面を私用スマートフォンで動画撮影し、SNSを通じて友人へ送信していたことを明らかにしました。元社員、患者、送信先の人物はいずれも友人関係にありましたが、元社員と送信先の人物はそれぞれの友人や家族にも情報を漏洩していたということです。
病院は元社員の所属企業に対し再発防止措置の遵守徹底を求めるとともに、業務委託契約の終了を決定。再発防止策として、業務従事中の私的な通信機器の所持を禁止、個人情報保護に関する取り扱い注意事項の徹底と研修会の実施などを挙げています。
参照:近畿大学病院で発生した診療情報の流出事案について|近畿大学病院
5.国立病院機構京都医療センター|情報漏洩見返りの収賄
国立病院機構京都医療センターの外科診療科長の医師は、2022年3月18日、主治医として担当していた会社役員の男性に患者情報を漏えいする見返りとして、現金150万円を受け取った疑いで書類送検されました。医師は、患者情報の漏洩のほか、会社役員男性の親族らの診療順を繰り上げたりする便宜などをはかっていた疑いが持たれています。漏洩した情報のなかには、別の患者の病状や治療に関するものが含まれており、医師は7回にわたって電子カルテを閲覧していたとされています。ほかにも複数の患者情報を伝えていた疑いがあり、詳しい経緯を調べているということです。
参照:患者情報漏えい見返りに150万円受け取った疑い 国立医療センター医師を書類送検|京都新聞
医療機関の情報端末紛失事件3件
医療機関における情報端末紛失事件も発生しています。ここでは、被害が甚大だった事件を3件ご紹介します。
1.量子科学技術研究開発機構のQST病院|USBメモリ紛失
2022年10月18日、国立研究開発法人量子科学技術研究開発機構のQST病院は、病院に勤務する医師が、患者情報3,145名分、当該病院以外の患者情報105名分の入ったUSBメモリを紛失していたことを公表しました。患者情報には氏名や病名、治療情報などが含まれており、生年月日や居住地域が含まれているものもあったということです。保存の必要のない個人情報は削除すること、USBメモリ内の情報に暗号化などの措置を行うことが病院の医療情報セキュリティ対策基準で定められていましたが、医師はこれに反してデータを保存していました。
病院は再発防止策として、セキュリティ対策基準の改訂、USBメモリやパソコンの利用履歴などを管理、居室の入退室の電子管理や防犯対策の強化などを挙げています。
参照:QST病院内における個人情報を含むUSBメモリの亡失について(第1報)|QST病院
QST病院内における個人情報を含むUSBメモリの亡失について(第2報)|QST病院
2.公立置賜総合病院|USBメモリ紛失
山形県にある公立置賜総合病院では2023年3月3日、歯科口腔外科に勤務する歯科医師が、患者情報35,892名分の入ったUSBメモリを紛失していたことを明らかにしました。紛失したUSBメモリのなかには、2000年11月から2022年12月までの歯科口腔外科受診の患者の患者ID、氏名、性別、居住市町、初診日、病名、入院治療の有無などのデータが含まれていました。USBメモリやデータにはパスワードロック設定が行われておらず、これは院内規程違反に該当するということです。
病院は再発防止に向けた取り組みとして、規程の更なる周知徹底を図るとともに、全職員を対象とした情報セキュリティ研修の実施を決めています。
参照:公立置賜総合病院における個人情報を記録したUSBメモリの紛失について|公立置賜総合病院
3.松下記念病院|ノートPC紛失
パナソニック健康保険組合の松下記念病院は2021年2月24日、1,971名分の患者情報が含まれたノート型パソコン1台が紛失していたことを明らかにしました。紛失したノートPCには、患者のID、氏名、生年月日、性別、年齢のほか、患者の特定部位についての「撮影画像データ」も含まれていたということです。
病院は被害者らと個別に連絡を取り、書面にて謝罪する方針を示し、再発防止に向けて個人情報に対する意識をさらに高めていくことを決めています。
参照:松下記念病院でノートパソコン1台紛失、患者1,971名の情報記録|CyberSecurity.com
医療機関の情報漏洩対策
個人情報を取り扱うことの多い医療機関では、意図せず情報を漏洩しないために細心の注意を払う必要があります。各医療機関において定められているセキュリティ対策マニュアルや指針を順守することは大前提ですが、医療機関で働く一人一人が常日頃から個人情報の取り扱いやルールを意識しておくことが大切です。
個人情報の持ち出しや安易な放置は避ける
情報漏洩を防ぐ最大の手段は、情報そのものを外部へ持ち出さないことです。個人情報をUSBメモリで持ち出したりクラウドなどへコピーする際には、それがなぜ必要なのか、どうしても必要なのかをよく考え、必要最低限のもののみを持ち出すようにしましょう。どれほど個人として注意を払っていても、気づかないうちにUSBメモリやPCを紛失していたり、不正アクセスによって情報が故意に流出させられることも考えられます。必要な情報を使用し終わったらすぐに削除するようルールを徹底し、個人情報を安易に放置しないよう注意することも大切です。
パスワードロックやセキュリティソフトを導入する
やむを得ない事情で個人情報を外部へ持ち出す必要があるときは、パスワードロックで第三者に情報を見られないようにしたり、セキュリティソフトを導入して外部からの侵入をブロックするなどの対策を行いましょう。個人情報が万が一外部から閲覧できる状態になってしまった場合でも、ロックがかかっていれば情報漏洩を未然に防げるのです。
まとめ
今回ご紹介した医療機関の個人情報漏洩事件は、すべて過去5年以内に起こったものです。個人情報を取り扱う機会の多い医療機関が、どれほど情報漏洩のリスクにさらされている状況であるかがよく分かります。医療機関の個人情報漏洩を防ぐためには、そもそも情報そのものを持ち出さないこと、持ち出す際にはロックやセキュリティソフトを導入することが大切です。一人一人がセキュリティ対策を順守し、個人情報を漏洩しないよう細心の注意を払うことを心がけましょう。
