患者様の個人情報を数多く取り扱うクリニックにおいて、過去には何度か個人情報の漏えい事故が発生しています。
ここからは、クリニックの院長先生、従業員の方に向けて、実際に発生してしまった個人情報漏えいの事例と、そのようなことにならないための対策について解説したいと思います。
事例①
2017年8月、鹿児島市にあるクリニックにおいて、患者様の個人情報が含まれた外部機器が紛失されるという事故が発生しました。
こちらの事件では、医師がデータのバックアップ用として院内で使用していた外部機器(外付けハードディスク)1台を、誤って紛失しています。
外部機器には、患者様217名の個人情報が含まれており、具体的には氏名、患部の画像データが含まれていました。
幸いデータの不正使用は確認されませんでしたが、こちらの事故を受けてクリニック側は、対象となる患者様に謝罪するという対応をしています。
事例②
2018年9月、新潟県にあるクリニックにおいて、患者様の個人情報が含まれたデジタルカメラが紛失されるという事故が発生しています。
紛失されたのは、同院の医師が所有するデジタルカメラで、紛失に気付いたのは2018年9月であり、最後に所在が確認されたのは8月31日でした。
こちらのデジタルカメラには、入院している患者様の氏名、ID、生年月日、患部の画像などが含まれていましたが、具体的に何件くらい保存されていたかは明らかになっていません。
また、医師は紛失に気付いた後、すぐに院長先生に報告し、デジタルカメラを捜索しましたが、結局見つかることはありませんでした。
同院はこれを受けて、すぐに情報漏えいの対象患者を特定し、事情説明と謝罪を行うと発表しています。
事例③
2019年4月、栃木県宇都宮市にあるクリニックにおいて、患者様の個人情報が含まれるリムーバブルディスクの紛失事故が発生しました。
こちらの事故では、2012年、2013年に実施された特定健康診査における受診者約700名分のデータが保存されたリムーバブルディスクが紛失されています。
紛失したのは2019年2月25日~2月27日の間と見られ、具体的には受診者の氏名や年齢、生年月日などが含まれていました。
紛失が判明した後、同院はすぐに関係各所を捜索しましたが、結局見つかることはなく、警察に届出を行っています。
また、情報漏えいの対象となった約700名に対して、事情説明と謝罪を行いました。
参考:サイバーセキュリティ.com「個人情報漏洩事件・被害事例一覧」
クリニックの個人情報漏えい対策
クリニックは、従業員に対し、定期的に個人情報の重要性についての教育をする必要があります。
また、以下のような個人情報漏えい対策を実施しなければいけません。
| 従業員への対策 | 守秘義務に関わる書面の取り交わし |
| システム対策 | ・運営サイトやソフトの脆弱性チェック
・個人情報に対するアクセス制限 など |
| その他 | トラブル発生時の手順の明確化 |
業務上で知り得た情報は、口外してはいけないというのが社会人としての常識ですが、守秘義務をしっかりと守れていない従業員は多いです。
口約束だけでは個人情報漏えいの対策にはならないため、しっかりと書面を取り交わしておきましょう。
また、サイトを運営しているクリニックは、サイトのセキュリティ面で問題があると、個人情報漏えいにつながりますし、ソフトやOSなどの脆弱性を定期的にチェックすることも重要です。
もちろん、一部の従業員しかアクセス出来ないようなアクセス制限や、院内で個人情報漏えい、悪用に関わるトラブルが発生した場合の具体的な手順を設定することも大切です。
まとめ
ここまで、クリニックにおける個人情報漏えいの事例とその対策について解説しましたが、いかがでしたでしょうか?
一度個人情報漏えい事故が発生すると、クリニックは経済的にも社会的にも甚大なダメージを負ってしまいます。
そのため、3up Projectを活用し、意識の高い従業員を育成することで、事故のリスクが極めて少ない環境を作り上げることも検討してください。
