弁護士谷直樹/医療事件のみを取り扱う法律事務所のブログ

昭和大学病院附属東病院,東京医科大学病院,セントマーガレット病院,患者情報含むUSBメモリーを紛失

昭和大学病院附属東病院は,2012年10月31日,「患者様個人情報の紛失に関するお詫び」をホームページに掲載しました.

「患者様個人情報42人分が記録されたUSBフラッシュメモリーを当院職員が2012年10月27日に紛失したことに気付きました。現在のところ所在は不明です。
個人情報の内容は、ローマ字姓、性別、診察券番号、略語化された病名、手術手技、検査結果の情報で、住所や電話番号、生年月日、フルネームは含まれておりません。
なお、現時点でUSBフラッシュメモリー内の情報が不正に利用されたとの事実は確認されておりません。

このことについて、2012年10月30日、緊急に個人情報保護管理委員会を開催し、監督官庁である厚生労働省、東京都に報告いたしました。

該当患者様に対しては、説明とお詫びの書面を送付いたします。

今回の事例を深く反省するとともに、このような事態を招いたことを厳粛に受け止め、職員に対し個人情報の取扱に関する注意を再度徹底し、再発防止に一層努めてまいります。」


東京医科大学病院は,2012年10月10日,「診療情報が入ったUSBメモリーの紛失について」をホームページに掲載しました.

「平成24年10月4日(木) 午後11時頃、当院の麻酔科研修医が、帰宅途中に、患者さんの診療情報を含むUSBメモリーが入った鞄を紛失しました。紛失後、所轄警察署に届け出ましたが、まだ発見されておりません。関東信越厚生局および東京都へは届け出ております。

 紛失したUSBメモリーには、当院で行われた手術5例(患者IDおよび麻酔時間や手術時間、出血量のデータ)と1例の術中画像が含まれております。ただし、患者さんの氏名・住所・電話番号の記載はありません。なお、USBメモリーにはパスワードが設定されておらず、暗号化されていない状態でした。
 該当される患者さんには、この度の経緯および対応について説明をいたしました。現時点では、個人情報が流出したという情報や第三者に不正に使用された事実は確認されておりません。

 当院では、個人情報の取り扱いについて、「個人情報保護法への対応のためのガイドライン(平成18年4月施行)」を制定し、個人情報の暗号化、院外への持ち出し禁止など、セキュリティ確保の指導を行ってきましたが、これらが遵守されず、診療情報が病院外に持ち出されたことは極めて遺憾であります。今回の事態を厳粛に受け止め、改めて教職員に対してはガイドライン遵守と個人情報保護の重要性について教育・指導を強化・徹底致します。
 このような事態を招き、皆さまにはご迷惑とご心配をおかけすることになったことを深くお詫び申し上げます。」


医療法人社団恵仁会セントマーガレット病院は,2012年10月16日,「個人情報データ紛失に関するお詫びとご報告」をホームページに掲載しました.

「1. 概要
平成24年10月10日(水)職員より、ご利用者さまの個人 情報594人分のデータが記録されたUSBメモリを紛失したとの報告を受け、紛失した 可能性のある場所を捜索致しましたが、発見には至っておりません。また、現在のところ、紛失した個人情報が不正に利用された痕跡は確認されておりません。

2. 紛失時期
平成24年10月5日(金)午後5時頃~平成24年10月10日(水)午前9時頃まで

3. 紛失した可能性のある場所
・セントマーガレット病院内及び敷地内
・職員自宅など

4. 紛失したデータ
・通所リハビリテーション・訪問診療・訪問看護ご利用者さま594名分の住所、氏名、介護保険保険者番号、介護保険受給者番号、H24年1月~9月の介護保険請求実績一覧
・職員作成の業務資料

5. 事故発生後の対応
① 該当される方への謝罪
② WEB サイトへの掲載
③ 関係機関への報告
④ 再発防止策の徹底
個人情報の職場外への持ち出し禁止、個人情報の取り扱い方法の再徹底これまでも個人情報の保護・管理に取り組んで参りましたが、このような事態を招いたことを真摯に受け止め、今後、再発防止策の徹底に努めるとともに、個人情報の取り扱いに万全を期すよう取り組んで参ります。」


電磁情報の漏出防止のために,USBメモリーなどにコピーすると自動的に暗号化されるなどのシステムを導入すべきでしょう.
以前も書きましたが,愛媛大学医学部付属病院は,2012年2月より,USBデバイスにコピーしたファイルを強制的に暗号化するソフトを導入しています.
導入したのは,株式会社ティエスエスリンクの情報漏洩対策ソフト「セキュアプライム DC」です.

「セキュアプライム DC」は,USBデバイスをサーバーで一元管理して個別に認証します.
管理者が許可しないUSBデバイスの利用は禁止されます.
USBデバイスの利用履歴やファイルの操作履歴をログ記録しますので,USBデバイスの不正利用を把握できます.
万が一USBメモリーの紛失・盗難が起こっても第三者によって容易に不正利用されないよう,USBデバイスにコピーしたファイルを強制的に暗号化し(オプション機能),ファイル編集後の上書き保存で自動的に再暗号化します.復号ファイルも残さず,ファイルの安全性をさらに高める,とのことです.
愛媛大学医学部付属病院では,「セキュアプライム DC」を利用できない端末では,外部ドライブが使えないようにPCのポリシーを設定し,データ流出を防止しているとのことです.


ちなみに,報道によると,昨年6月以降,個人電磁情報の紛失事故は,以下の施設で起きています.

2011年 6月
慶應義塾大学病院スポーツ医学総合センター
北海道大学病院

2011年7月
医療法人 柏堤会(財団) 戸塚共立第1病院
藤田保健衛生大学病院
昭和大学歯科病院

2011年8月
筑波メディカルセンター病院

2011年9月
千葉県精神科医療センター
鹿児島大学病院

2011年10月
JA茨城県厚生連茨城西南医療センター病院
独立行政法人国立病院機構三重中央医療センター
独立行政法人労働者健康福祉機構関東労災病院
大和市立病院

2011年11月
独立行政法人国立病院機構金沢医療センター

2012年1月
医療法人聖愛会
独立行政法人国立病院機構千葉医療センター
独立行政法人国立病院機構宇多野病院
東京女子医科大学附属八千代医療センター

2012年2月
京都府立洛南病院(ただし一時紛失)
岡山大学病院
藤沢市民病院
長崎大学病院

2012年3月
日本赤十字社医療センター

2012年4月
ごう在宅クリニック(札幌)
静岡県立病院機構静岡県立総合病院
広島大学病院
福岡大学病院

2012年5月
福岡大学病院

2012年7月
日本大学歯学部付属歯科病院

2012年8月
名古屋大学医学部附属病院

2012年9月
沖縄県立中部病院
福岡歯科大学医科歯科総合病院

2012年10月
医療法人社団恵仁会セントマーガレット病院
東京医科大学病院
昭和大学病院附属東病院

【追記】

読売新聞 「くまもと森都総合病院、情報漏えい対策に「SASTIK」を導入」(2012年11月8日)は次のとおり報じています.

 「モバイル USB シンクライアントのサスライトは、情報漏洩事故のリスクを低減するセキュリティシステム「SASTIK III Thin-Client Layer アカデミック版」を、くまもと森都総合病院(旧 NTT 西日本九州病院)に導入した。

 同じ病院内でも、診察棟と医局でネットワークが違う場合、医師は診察棟に足を運ばなければ必要データにアクセスできなかった。しかし、今回の導入で、ネットワークに繋がった PC に USB キーを挿すだけで、セキュアに指定のサーバーにアクセスできるようになった。

 USB を用いてデータを持ち出すわけではないので、情報漏えい対策にもなる。利用後は USB キーを抜くだけで自動的に機能を終了し、利用した PC には一切のデータを残さないため、セキュリティ面でも安心して利用できる。(インターネットコム)」


谷直樹

ブログランキングに参加しています.クリックをお願いします!
  ↓

にほんブログ村 士業ブログ 弁護士へ
にほんブログ村
by medical-law | 2012-11-05 20:44 | 医療事故・医療裁判