医療機関で情報漏えいを防止するために注意したいこと
病院では、患者様の氏名・住所・連絡先・生年月日のほか、病歴や治療歴、処方歴など、たくさんの個人情報を取り扱っています。いずれも患者様とって重要な情報ですので、外部機関や第三者に知られることのないよう、適正に管理する必要があります。
特に昨今は、医療分野においても電子カルテやオンライン診療といったICT(情報通信技術)を駆使したサービスが広く普及しており、利便性が飛躍的に向上した一方、情報漏えいのリスクも上昇したことが大きな課題となっています。
そこで今回は、医療機関における情報漏えいの主な原因と事例、情報漏えいを防止するために注意したいことや具体的な対策について解説します。
持ち出し・放置は厳禁!医療機関で情報漏えいを防ぐために注意したいポイント
医療機関で情報漏えいを防ぐためには、最低限、以下のポイントに注意する必要があります。
1. 個人情報の持ち出しはNG
近年では勤務場所以外で働くテレワークやリモートワークが主流となりつつありますが、個人情報が入ったパソコンや記録媒体(USBなど)を他の場所で利用すると、情報漏えいのリスクが高くなります。 たとえば、ネットカフェなどの管理下にないパソコンにUSBを接続する、公衆Wi-Fiに接続してインターネットを利用する、といった行為は情報漏えいにつながるおそれがあります。 自宅に仕事を持ち帰る場合、パソコンやUSBに入ったデータがないと困ることも多いかと思いますが、情報漏えいを防ぎたいのなら、業務で使っているパソコンやUSBの持ち出しはやめましょう。
2. 個人情報の安易な放置は避ける
個人情報が記載された書類やカルテをデスクに放置したままの離席や帰宅、パソコンにロックをかけずにその場から離れたりする行動は、第三者に情報を盗まれたり、覗かれたりする可能性があります。 個人情報が記載・保存されたカルテやパソコンは安易に放置せず、然るべき場所にしまうか、きちんとロックをかけることを心がけましょう。
3. 必要のないソフト、プログラムの使用を避ける
情報漏えいを引き起こすコンピュータウイルスは、しばしばソフトやプログラム、WEBサイトなどにひそんでおり、ダウンロードやインストールを行ったり、サイトを閲覧したりした時点でウイルスに感染してしまうおそれがあります。 業務で使用するパソコンやタブレットには、業務上で必要かつ信頼できるソフトやプログラムのみをダウンロードし、怪しげなサイトにはアクセスしないようにしましょう。 近年はメールに添付されているファイルを開くことでウイルスに感染するものがあります。知り合いの名前を利用してメールを送ってくるなど、手口も巧妙になっています。不信な添付ファイルは開く前にシステム管理者や送信者に確認するなど、十分に気をつけましょう。
4. 書類・パソコンの処分方法に注意
個人情報が記載・保存された書類やパソコンを処分するにあたり、乱雑に丸めてゴミ箱に廃棄したり、ハードディスクに保存されたデータをそのままにした状態で売却・譲渡したりすると、悪意ある第三者に情報を抜き取られてしまうリスクがあります。 大事な情報が詰まった書類やパソコンを処分するときは、誰かが手に取る可能性を考慮し、シュレッダーやデータ消去などの対策を行っておくことが大切です。
5. ウイルスソフトの最新化、ID・パスワードの定期更新
パソコンにウイルス対策ソフトをインストールすることは当然ですが、常に最新のパターンファイルに更新することが必要です。自動で最新化される設定にしているか、ウイルス対策ソフトの契約切れなどでパターンファイルの更新が止まっていないか、定期的に確認を行うことが大切です。 また、パソコンや各利用システムに使用するパスワードの定期的な変更を行いましょう。システムによっては設定した期限ごとに強制的にパスワードの変更を求める機能を有するものがありますので利用することをお勧めします。
医療機関における情報漏えいの主な発生原因と具体的な事例
医療機関における個人情報漏えい事故は決して少なくありませんが、その原因は事例によって異なります。 ここでは、医療機関の情報漏えいの主な発生原因と、具体的な事例を3つに分けてご紹介します。
1. 紛失
業務で使っているパソコンやUSBメモリなどの紛失はめずらしいことではなく、2018年における原因別の漏えい件数においても全体の約26%と最多に上っています。[注1] 直近では、ある病院に勤務する医師が、患者の個人情報が記録されたUSBメモリを紛失したというケースがありました。医師は普段、USBメモリを鍵付きの引き出しに保管していましたが、いつの間にかなくなっていたとのことです。 USBメモリには患者様の氏名や年齢、性別、診察券番号などの個人情報が記載されており、現時点でも紛失したUSBは発見に至っていません。
このように、普段は鍵付きの引き出しなどで厳重に管理していたとしても、ふとした気の緩みからUSBメモリを紛失したり、置き忘れたりするリスクは十分あります。 [注1]NPO日本ネットワークセキュリティ協会:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版) p7
2. 不正アクセスの被害
インターネットは世界中から情報やデータを検索・利用できる便利なサービスですが、セキュリティが脆弱な媒体でネットに接続すると、外部から不正アクセスを受ける可能性があります。 2021年にも、ある医療センターに勤める医師が、私物のパソコンを院内に持ち込み、院内のLAN回線につなげたところ、外部からの不正アクセス被害を受けるという事例が報告されました。[注2]医師が持ち込んだ私物のパソコンは一定のセキュリティ基準を満たしておらず、院内のLAN回線に接続した際、外部から不正アクセスされた疑いがあるとみられています。幸い、患者様の個人情報を記載した電子カルテは別のネットワーク環境で運用していたため、情報漏えいの被害は確認されていないようです。 しかし、センターは対応完了までの間、病院全体のネットワークを外部から切り離さなければならず、業務に少なからず支障をきたした可能性があります。
病院そのもののネットワークセキュリティを強化していても、そこに接続する媒体のセキュリティが不十分な場合、このような不正アクセスの被害を受けてしまうおそれがあるので要注意です。 [注2]新潟県立精神医療センター:県立精神医療センターにおける情報漏えいの疑いについて
3. 管理意識の低下、ルール違反
情報・データの持ち出しや、院内へのパソコンの持ち込みなどは、個人情報保護の観点から、どの病院でも原則として禁止されています。しかし、少しだけなら大丈夫だろうと安易に考え、ルール違反を犯した結果、個人情報を漏えいさせてしまったという事例も決して少なくありません。 ある病院では、院内で取り扱っているデータの持ち出しを禁止していましたが、所属する医師はルールに違反し、患者様の検査情報を電子データとしてクラウドストレージに保管していました。ところが、そのクラウドストレージに利用するIDやパスワードが悪意ある第三者に盗まれ、保管していた患者様の情報が流出する事態が発生しました。 原因は医師が個人的に所有していたスマホ宛に届いたフィッシングSMSです。医師が添付されたリンクにアクセスし、IDとパスワード情報を入力した結果、クラウドサービスのアカウント情報を悪用されてしまいました。 病院は当該クラウドサービスへのアクセスを試みましたが、すでに第三者にアカウント情報が奪われてしまっていたため、本人確認ができず、クラウドストレージに保管された情報の削除が難しい状態になってしまいました。
原則として禁じられているデータの持ち出しを行ったこと、フィッシングSMSに騙されてしまったことは、医師の管理意識の低下および情報リテラシー不足によるところが大きく、ルールや人材教育の徹底が課題となっています。
医療機関の情報漏えいを防止するための対策
医療機関の情報漏えいを防止するために有効な対策を2つご紹介します。
1. ネットワーク上の脅威への対策
インターネットを利用する以上、不正アクセスやハッキングなどのリスクは決してゼロではありません。こうしたネットワーク上の脅威を最小限に抑えるためには、強固なセキュリティシステムやツールを選定・導入することが大切です。 たとえば医療機関では、電子カルテを作成・管理するためのシステムやツールの導入が進んでいますが、同じ電子カルテ関連のツールでも、セキュリティの質やレベルの高さはシステムによって異なります。特にクラウド型のシステムを利用する場合は、データの暗号化はもちろん、データセンターそのものの堅牢性も考慮に入れてツール・サービスを選ぶことが大切です。
2. ルールの明確化および教育の徹底
どんなに強固なセキュリティシステムを導入していても、それを利用する人の情報リテラシーや管理意識が不足していると、情報漏えいリスクを低減させることはできません。 どの病院にも、個人情報保護のルールは設けられているはずですが、その内容やルール違反を犯したときのリスクが医師やスタッフ全員に周知されているか、業務上で利用するパソコンやタブレットの正しい使い方を教育しているか、今一度見直してみましょう。 必要に応じてネットワークや電子媒体の扱い方の基本を学べる講習会やセミナーを開くのもひとつの方法です。
医療機関での情報漏えいを防ぐには、ルールの徹底と高度なセキュリティの導入が必要不可欠
患者様の大切な個人情報を大量に取り扱う医療機関では、日頃から個人情報漏えい防止に対する取り組みを強化しておく必要があります。 情報漏えいの原因は複数ありますが、いずれもセキュリティの脆弱さや管理意識の低下に由来したものです。したがって、セキュリティレベルの高いシステムやツールを選定する、院内ルールをあらためて明確にし、医師やスタッフに必要な教育を行うなど、情報漏えいを防ぐための工夫や取り組みを積極的に実施していきましょう。一番大切なことは全てのスタッフが情報セキュリティに対する重要性とルールを共有し、厳守することです。