医療/介護現場の情報漏洩はどのように起こるのか?【予防対策まで徹底解説】
・webを使って、「採用」や「集患」を考えているが、情報管理で気を付けることはあるのかな。
・医院や会社で管理しないといけない情報ってどこまでなのかな?
こうした疑問にお答えします。
医療/介護関係者は業務上、患者の個人情報を頻繁に取り扱うため、情報漏えいのリスクに日々さらされています。
本記事では、医療情報の流出を防ぐためにはどのような対策をするべきか、情報流出してしまった後の対処についてなど知っていきましょう。
この記事の目次
個人情報とは? 〜管轄範囲を説明〜
まずは個人情報の定義を明確にします。
「個人情報」とは?
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」
氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいいます。
この「個人に関する情報」とは、氏名、性別、生年月日等個人を識別する情報
に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているか否かを問いません。
また、個人情報保護法では、死者に関する情報は対象ではありませんが、同時
に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となり法律の対象となります。
ガイドラインは、医療・介護関係事業者が保有する医療・介護関係の個人情報
を対象とするものであり、診療録等の形態に整理されていない場合でも、患者の氏名等が書かれたメモ等であれば個人情報に該当します。
に関するQ&A(厚生労働省)
と記載があります。
つまり、
・個人情報は、生存者に対する情報である。(死者であっても遺族情報は個人情報である。)
・範囲は、特定の個人を識別することができるもの、すべて。
・医療/介護機関の公的文書のみでなく、「メモ」も該当する。
となります。
あわせて把握しておくべき、「企業情報」とは??
情報漏洩に関して注意すべくは、「個人情報」のみではありません。
「企業情報」も、漏洩に注意をしなくてはなりません。
企業情報とは?
・プレゼンテーション資料
・収支に関する資料
・人事管理関係の資料(労務・教育・採用など)
・企画書類
など
一般的にこれらの情報が「企業情報」とされています。
法的拘束力があるものではありませんが、経営に関わる内容ですので、就業規則にて取り決めがあります。
情報が漏洩するとどうなるのか?
情報管理をするにあたって、「情報流出したらどうなるのか?」をよりイメージしておくことが必要です。
②その後の「企業側の被害」について理解する
①「使用者責任」について理解する
情報が漏洩するパターンは、いくつかあります。「サーバーの設定ミス」などという企業の行動要因に帰する事柄から、「SNSで情報を発進してしまった」という個人の行動要因に帰する事柄があります。
ここで理解すべきは、「責任」の範疇です。
民法第715条(使用者等の責任)
1.ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。ただし、使用者が被用者の選任及びその事業の監督について相当の注意をしたとき、又は相当の注意をしても損害が生ずべきであったときはこの限りでない。
wikibooks
2.使用者に代わって事業を監督する者も、前項の責任を負う
3.前二項の規定は、使用者又は監督者から被用者に対する求償権の行使を妨げない。
つまり、
ということです。
②その後の「企業側の被害」について理解する
その後の「企業側の被害」について説明します。下記、項目が想定されます。
2.医院/企業の信用低下
3.機会の損失
1.個人情報が悪用される事による補填
どう言った情報が漏洩されてかによって、被害内容も変わってきます。
①漏洩情報:住所や電話番号
被害内容は、見覚えのない業者から電話がくる、いきなり家に営業訪問がくる、などがあげられます。
また、医療/介護に関わる個人情報の漏洩では、疾患情報などの漏洩がなされた場合に同様の被害(悪質な営業TELや営業訪問)も想定されます。
②漏洩情報:メールアドレス
バラマキ型のメールの宛先に追加されることがあるようです。
インターネットのユーザから経済的価値がある情報を奪うため開設された「フィッシングサイト」への誘導であったり、 コンピュータウイルスなどの「マルウェアが添付されたメール」の発信先に追加されます。
2.医院/企業の信用低下
被害の程度や状況にもよりますが、直接被害と間接被害に分けられます。
直接被害とは?
規模の大きいもので「業務の停止」や、流出させた媒体(ホームページやSNSアカウントなど)の閉鎖、スタッフの解雇・退職などが上げられます。
また、対策費用も発生します。
・情報の回復・保護費用
・事故の原因究明・対策費用
・情報システムの原状回復費用、改善費用
・情報拡散防止対策費用、見舞金・謝罪費
などなど
間接被害とは?
短期的な被害としては、下記項目が上げられます。
患者様や利用者様からの解約の申し出や転院。
・損害賠償
被害者や二次被害を与えた他者への損害賠償
・公的な処罰
指定申請のの取り消し・停止など
また、長期的には下記項目も発生して来ることが考えられます。
社会的信用の喪失、ブランドイメージの毀損、風評の悪化、株価下落
・スタッフへの影響やハレーション
対策に伴う業務過多やスタッフの不安・不満、モラル低下
3.機会の損失
個人情報が漏えいすると、その漏えい事故の対応をしなければなりません。
その間、被害者や関係者などからの問い合わせが入ったり、本来やるべき業務ができなくなります。
情報流出の事例紹介します
医師PCに不正アクセス、個人情報流出か
多摩北部医療センターの医師のパソコンが不正にアクセスされ、患者らの個人情報が流出した可能性。
患者ら3671人の氏名や生年月日、病歴などの個人情報のほか、医療関係者ら1533人のメールアドレスが流出した。
参考記事:医師PCに不正アクセス、個人情報流出か
医師を名乗る男に電話番号教える…FAX番号間違え個人宅に誤送信…福島県立医大で個人情報漏洩 相次ぐ
福島県立医科大学は過去に在籍していた男性医師を名乗る男から「治療のことで患者に連絡したい」と電話があり、信じた職員が69人分の携帯電話番号を教えた。
参考記事:医師を名乗る男に電話番号教える
民生委員の自宅で盗難、高齢者名簿が被害 – 横浜市
横浜市は、民生委員の自宅が盗難被害に遭い、高齢者52人の個人情報が記載された名簿などが盗まれたことを明らかにした。
参考記事:民生委員の自宅で盗難、高齢者名簿が被害
医療/介護機関が行う情報漏洩の予防対策とは?
医療/介護機関が行うべき、情報漏洩の7つの予防対策をご紹介します。
・守秘義務に関する書面を取り交わしていない
・個人情報記載の書類をシュレッダーなどで廃棄していない
・職場からの個人情報を持ち出し
・公共の場で個人情報を含む会話をする
・個人情報に対するアクセス制限を行っていない
・従業員が自由にソフトをインストールできる
個人情報漏洩への取り組みを行っていない
内部にセキュリティポリシーや実施要領などをしっかりと明示し、それに沿った対策を行います。
併せて、すべての従業員に対する定期的な教育も必須です。個人情報漏洩は他人事ではなく、自分が起こしてしまう可能性があることを意識づけることが重要です。
守秘義務に関する書面を取り交わしていない
業務上知り得た情報を口外しないといったことは、個人情報を取り扱う一般的な社会人としてのモラルですが、それを守れない人が少なからずいるのも事実です。個人情報を守るために従業員とは必ず守秘義務契約を結びましょう。
個人情報記載の書類をシュレッダーなどで廃棄していない
個人情報が記載された書類などをそのままゴミ箱に捨てるのはNGです。ゴミとして捨てられた書類から個人情報が漏洩する危険性があります。
職場からの個人情報を持ち出し
原則的に、個人情報や業務情報をUSBメモリなどの記録媒体に保存し、職場から勝手に持ち出すべきではありません。記録媒体を紛失や盗難によって持ち出した情報が漏洩する可能性があります。
ただし、介護現場では、ご自宅での「サービス担当者会議」など、どうしても持ち出しをしなければならない状況もあると思います。
事業所として個別のルールを作成することが必要です。
公共の場で個人情報を含む会話をする
医療/介護関係者は特に注意が必要な項目ですので、医院や企業としても指導する必要があります。
電車やバス、エレベーター、レストラン、飲食店など、不特定多数の人が集まる公共の場で個人情報を含んだ会話をすると、そこから情報が漏洩する危険性があります。
また、携帯電話での会話は周囲への注意が散漫になりがちなので、特に気をつけなければなりません。
個人情報に対するアクセス制限を行っていない
個人情報に誰でもアクセスできてしまう環境は非常に危険です。
情報漏洩のリスクを抑えるためにも、限られた従業員が必要最小限の情報にのみアクセスできる環境にしておくのが理想です。
従業員が自由にソフトをインストールできる
業務用パソコンにおいては、インストールできるソフトを制限しておかないと、安全性が確認できていないソフトがインストールされた場合、それが原因で情報が漏洩する可能性があります。業務上、必要なソフトのみをインストールできる仕組みがベストです。
また、セキュリティ確保のためにも私用パソコンと業務用パソコンは明確に区分し、目的外利用を防ぎましょう。
あせて確認したい
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に関するQ&A(事例集)
まとめ
情報漏洩の実態や予防対策を説明しました。
・個人情報漏洩の多くは医院・企業内で発生するヒューマンエラーであり、人災と言っても過言ではありません。
・一スタッフが引き起こした事柄であったも、組織として「使用者責任」を問われることがあります。
・情報漏洩が発覚すると、金銭的補填や時間的コスト、社会的信用の毀損など大きな影響につながります。
・緊急性の有無問わず、徹底した上記7つの予防対策が必須となります。