病院の個人情報漏えいにおける原因と対策

　医療関係者は業務上、患者の個人情報を頻繁に取り扱うため、情報漏えいのリスクに日々さらされています。日夜、目が回るほど忙しい医療現場ですが、冷静に対処し、患者情報が漏えいしないように常日頃から注意する必要があります。 2017年5月30日に施行された改正個人情報保護法により、病院、クリニックを問わず患者情報の取り扱いは一層厳格になりました。患者個人に対する治療歴や調剤歴などの個人情報は要配慮情報に認定され、同意なしの患者情報は治療の一環として利用できなくなっています。 ますます取り扱いに注意が必要になっていく患者の個人情報。今後、医療機関は患者の個人情報をどのように取り扱い、またどのように守っていくべきかを解説します。

医療分野における個人情報の守秘義務

　医療分野における個人情報は、直接的に患者の社会的な評価に関わるおそれがあるため、厳しく保護する必要があります。そのため厚生労働省により、明確な個人情報の守秘義務規定が定められています。

資格に着目した守秘義務規定

　（刑法による規定、医師の刑法上の守秘義務規定に関する特別規定 、診療放射線技師法第29条（秘密を守る義務）)医師や薬剤師、医薬品販売業者などは正当な理由がなく、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、6カ月以下の懲役または10万円以下の罰金が処されます。また特定の精神病治療や感染症治療で知り得た情報を正当な理由なく漏らしたときは1年以下の懲役または50万円以下の罰金に処されます。

業務の特性に着目した守秘義務規定（精神保健医療関係、感染症医療関係、臓器移植関係、その他）

　医療の現場で、個人情報保護法の規制の対象となるのは有資格者だけではありません。医師と一緒に現場で活躍する看護師や事務員などにも、現場で知り得た個人情報を厳守する義務があります。患者の個人情報を正当な事由なく漏らしたときも懲役や罰金に処せられます。

「お問い合わせ」から詳しい資料が無料ダウンロードできます セキュリティにも配慮した、クラウド対応型診療所・クリニック向け健診サービス「CARNAS」

病院における個人情報漏えいの事例

　患者の個人情報漏えいは、懲役や罰金に処せられるほど深刻なため、医療機関は神経質になるくらい慎重に管理しなければなりません。しかし、残念ながら個人情報漏えいは今までさまざまな医療機関で発生しています。過去に国内で発生した情報漏えいの代表的事例を紹介します。

持ち出したUSBメモリを紛失（東北）

　東北地方のある病院で、患者の個人情報が記録されたUSBメモリが行方不明になりました。USBメモリには患者240名弱の氏名、生年月日、年齢、性別、検査データ、病歴、カルテ番号などが保存されていました。病院側が全くセキュリティ対策を施していなかったわけではありません。病院内ルールでは、患者の個人情報は原則USBメモリに保存してはいけないが、やむをえない場合は所属長の許可があれば、パスワードを付与することで可能となっていました。

　しかし、持ち出した医師はこのルールに違反して個人情報をUSBメモリに保存し、持ち出していました。病院が対策を講じていたにもかかわらず、当事者である医師がルールを守っていなかったのです。

海外からの不正アクセス（近畿）

　近畿地方のある学部付属病院では、非常勤医師の個人アカウントが第三者に不正使用されるセキュリティ事故が発生しました。海外からの不正アクセスにより、メールサーバーに記録されていた患者220人分の個人情報が漏えいした可能性があると発表されています。

職員によるカルテの置き忘れ（九州）

　九州地方の総合病院では、病院職員が患者の個人情報記載のデータを院内の待合室に置き忘れる事例が発生しました。幸いにも同日中に回収されましたが、だれでも見られる場所に置かれていたため、情報が漏れた可能性は否定できません。

「お問い合わせ」から詳しい資料が無料ダウンロードできます クラウド対応型診療所・クリニック向け健診サービス「CARNAS」

病院における個人情報漏えいの原因

　ニュースにとりあげられるレベルの個人情報漏えいの事例はまれですが、小さな個人情報漏えいは、高頻度で発生している可能性があります。特に個人経営の小規模のクリニックでは、個人情報保護への取り組みがまだ不十分なところも多いでしょう。医療機関での情報漏えいは悪意のある意図的な事例は少なく、大半は個人情報取り扱いに関する甘い考えに起因しています。個人情報漏えいの代表的な原因は以下のとおりです。

業務の持ち帰り

　高齢化社会が進む日本では、医療関係者の業務負担が増えています。その一方、国内ではワークライフバランスや働き方改革の啓蒙活動も進んでいるため、勤務先で長時間業務を行うのが難しい状況にあります。そのため勤務先でやり残した業務は、データを持ち帰って自宅で行わざるをえません。このとき、持ち出した情報を自宅のパソコンに保存した際に十分なセキュリティ対策を施さなければ、情報漏えいリスクは高くなります。

USBメモリやCD/DVDなどの紛失

　情報を持ち出した時点でセキュリティ面において問題ですが、持ち出した記憶媒体を紛失してしまえばセキュリティ事故になります。さらに、記憶媒体や持ち出したデータに対するパスワード設定がされていない場合、情報は簡単に閲覧されてしまいます。

なりすましメール・Web上の不正プログラム・ウイルス感染などによる乗っ取り・フィッシング詐欺による被害

　病院内のパソコンで業務を行っていても、なりすましメールに対応してしまったり、不正プログラムの入ったソフトウェアをダウンロードしてしまったりすると情報漏えいが発生してしまいます。ほかにもウィルス感染による乗っ取りやフィッシングなどが原因で情報漏えいが発生する場合があります。一度情報漏えいが発生すれば、その医療機関の信頼は失墜します。しかし、それ以上に深刻なのは漏えいされた患者の人生に大きな影響を与えてしまうということです。

病院における個人情報漏えいの対策

　厳格に取り扱うべき医療情報には適切な対策を講じる必要があります。そのためには内部で働くスタッフの意識変革とともに、病院側が情報漏えいしない環境の整備も大切です。

「3省3ガイドライン」を満たす信頼できるシステムを検討する

　日本では、医療情報をパブリッククラウドに保存する際に遵守すべき「3省4ガイドライン」がありましたが、2018年7月31日に総務省が改定ガイドラインを公表し、「3省3ガイドライン」となりました。これは厚生労働省、経済産業省、総務省の3省が出しているガイドラインの総称で、医療情報の健全な取り組みの指標となっています。このガイドラインを遵守するシステムを構築・運用することで、医療情報の安全かつ健全な扱いが期待できます。

　なお、2019年度には総務省・経済産業省の共催会議により事業者向けガイドラインが整理・統合され「3省2ガイドライン」となる予定です。さらに、厚生労働省の「医療情報システムの安全管理に関するガイドライン」との整合性確保も検討されるようです。

医療従事者の情報管理意識の徹底・向上

　直接的に個人情報を扱う医療従事者への教育は欠かせません。定期的なコンプライアンス教育やリスクアセスメント、リスク対応策の策定まで行い、情報管理に対する意識変革を行う必要があります。どれだけ優秀なシステムを導入していても、それを扱う一人ひとりが個人情報の重要性を認識していなければ意味がないのです。

「脅威」への対策ツールの導入検討

　「病院における個人情報漏えいの原因」でも言及しましたが、現在は外部からのリスクも日に日に増しています。ウィルスなどによる情報漏えいリスクは外部には多く潜んでいます。このようなリスクは素人が簡単に発見できるものではなく、巧妙に仕組まれています。これらの外部リスクを抑えるためには、事前に脅威を発見し予防するツールの導入が効果的です。導入費用は発生しますが、情報漏えいによる被害の大きさを考えれば、安価だといえるでしょう。

「お問い合わせ」から詳しい資料が無料ダウンロードできます 3省3ガイドライン対応、クラウド対応型診療所・クリニック向け健診サービス「CARNAS」

• IT資産管理・情報漏えい対策ツール｢LanScope Cat」
• 法人向けセキュリティ対策「あんしんプラス」（ウイルス対策・メール/Webセキュリティ・改ざん検知など）

個人情報の漏えい対策は意識づけと仕組みづくりが重要

　患者情報は本人の尊厳にかかわる問題のため、漏えいすると患者の人生を大きく狂わせてしまうおそれがあります。その点を肝に銘じて、医療関係者は患者の個人情報を取り扱わなければいけません。情報漏えいは、関係者自身が気を付けることも大事ですが、同様に情報漏えいをしない仕組みづくりが病院側に求められています。 参考：

• 患者の病歴などを記録したUSBメモリが所在不明 – 福島県の病院│Security NEXT
• 3省4ガイドラインとは│日経デジタルヘルス
• 2019年度に「3省2ガイドライン」へ　総務省の改訂ガイドライン第1版が正式公表│日経デジタルヘルス