個人情報漏えい事故について
今年7月の初めに大手コンビニチェーンの新しいモバイル決済システムで不正アクセス被害が話題になりました。このような個人情報漏えいや不正アクセスといったセキュリティ事故は日々起こっています。
では、最近ではどれくらいの個人情報漏洩事故があったのでしょう。
「2018年 情報セキュリティインシデントに関する調査報告書」によると、2018年の1年間での漏えい人数が561万人です。これは都道府県別人口で全国7位の兵庫県の548万人より多い人数です。
事故件数は443件、1日に1.2件発生しています。ただし表面化している件数ですので実際はもっと多いものと思われます。
これらの事故の原因は「紛失・置き忘れ」「誤操作」「不正アクセス」の3つが約70%を占めています。
このような個人情報漏えいについてはその取扱いについて法律でも保護されている為、世間への影響は多大です。
では、そもそも医療機関にとって何が個人情報にあたり、情報漏洩してしまった場合にはどのような影響があるのでしょうか。
今回は医療機関における個人情報にまつわる基本的な内容をお届けします。
個人情報保護法について
先ほど個人情報取り扱いについては法律でも保護されているとお話ししましたが、これを「個人情報保護に関する法律」といい、「個人情報保護法」の略称で呼ばれています。
この法律が制定された背景には、個人のプライバシーを保護するといった世界的な潮流と住民基本台帳法の改正が大きく関係しています。
個人情報保護法が公布されたのは平成15年5月30日、今から16年も昔のことになりますが、当初は個人情報5、000件以上を保有する事業者のみが個人情報取扱事業者となり、その事業者のみが刑事罰の対象でした。
ここでは初めて「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)と定義されました。
しかし、平成27年、改正個人情報保護法が公布され、平成29年からは保有する個人情報の件数によらず、すべての事業者が個人情報保護法の適用対象になりました。これは個人情報保護法を施行後12年の間に企業でも個人生活でもIT化が進み、日常生活が大変便利になる一方、蓄積された多くの個人情報を悪意のある第三者による不正取得や、システムが使えなくなるようなセキュリティ攻撃など、社員や関係者によって個人情報を不適切に利用したために起こる事故が増加したためです。
では、医療機関で保護しなくてはいけない個人情報にはどのようなものがあるでしょうか。
一般的な健康保険やクレジットカードなどの支払い情報は当然として、診療録、処方せん、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤録 なども個人情報となります。
このように医療機関特有の個人情報が多いため一般企業より個人情報の保護管理が重要となります。
情報漏えい等の経済的損失例
ここで、実際の事件を元に、具体的にどのような損失が起きうるか見てみましょう。
ある教育サービス事業者の個人情報漏洩事件では、およそ3500万件の顧客情報が流出しました。その後のユーザーへの補償としての500円の金券配布や集団訴訟費用などで、約175億円の損失が発生したと言われています。
また、ピーク時には400万人を超えていた会員数は事件直後に200万人台まで減少し、それから5年近く経った2019年3月期時点でさえ、ユーザー数は増加しているものの完全には取り戻せていません。一時的な金額的損失以上に、信用の失墜、ブランドイメージの低下が続いていることの影響は大きいでしょう。
医療機関における個人情報漏洩事故
ここまで情報漏えい事故全体についてお話ししましたが、医療業界での事故の状況はどのようになっているでしょうか。
2018年に発生した医療・福祉系の情報漏洩件数は28件です。比較的大きな総合病院が多く、人数が多いほど情報も多く狙われやすい・機器も多くリスクが高いことが伺えます。業種別では、10年ほど上位にランクインしていた金融・保険業をとうとう追い抜き、医療・福祉が5位になりました。
その原因として、関係者が学会等に提出する論文などの資料作成の為に院内のデータを個人利用のパソコンやUSBメモリで持ち出し紛失や盗難といった事象が多く起きているといった特徴があります。
このような問題に対しては院内データのセキュリティポリシーの策定と職員に対するセキュリティ教育を実施することで未然の事故防止へ有効と考えられます。
厚生労働分野におけるガイドライン
このような事故が増えたことで厚生労働省から個人情報の取り扱いに関するガイドラインやガイダンスが出されています。
特に「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」には、個人情報について詳しい留意点や事例が記載されていますのでまずこちらを読んでいただくことをお勧めします。
医療機関等におけるサイバーセキュリティ対策の強化について
また厚生労働省から2018年10月29日に「医療機関等におけるサイバーセキュリティ対策の強化について」各病院や医療関係機関へ通知されています。これは事故が起こった際は速やかに報告を求められる内容となっています。
いつ起きるか分からない事故への対応速度を上げるには、現場に関わる一人ひとりへの「まずは報告しなくては」という意識付け、連絡先の分かりやすい場所への掲示が重要です。厚生労働省からの通知に添付されている、別紙「サイバー攻撃を受けた場合の対応について(院内掲示用)」をご活用いただくとよいと思います。
今回個人情報保護に関わる世間の現状と医療機関における個人情報保護についてお話しさせて頂きましたがいかがでしたでしょうか?情報漏えい事故は定期的なセキュリティ教育でもある程度事故を減らせると思います。しかし、悪意ある攻撃に対しては攻撃方法も進化している為、事故を100%なくすことは難しいでしょう。これらの対処として定期的なセキュリティチェックと見直しを行うことで事故の発生と被害の拡大を防ぐ環境づくりが必要だと言えます。