医療現場における個人情報漏えい事故の現状
医療現場における情報漏えい事故は、電子カルテ等のシステム利用時では無く、医療情報(患者情報)の3次利用の場面で多く発生しています。しかし、医療情報(患者情報)の利用を制限するだけでは、医療現場の情報漏えいは無くなりません。
-
○○大学付属病院
職員が患者情報747件含むUSBメモリを地下鉄で紛失。USBメモリには、患者747人の氏名や年齢、傷病名などを保存していたが、そのうち157人分のファイルにはパスワード設定がなかった。
-
◇◇市立病院
患者約200人分の心理検査報告書をパソコンからUSBメモリに取り込み、別の部屋へ移動し、15分後に紛失に気付いた。病院のマニュアルは個人情報を入れたメモリはパスワードをかけるよう定めているが守っていなかった。
-
情報の1次利用
入院患者や外来患者の診療・治療を目的とした利用。
電子カルテシステム等の院内システム
-
情報の2次利用
病院の管理・経営、行政的な利用、医学研究や教育・研修を目的とした利用。
DWHシステム等の情報系システム
-
情報の3次利用
学会への登録・発表や専門医/認定医(看護師)など資格取得の個人的な理由を目的とした、医師・職員及び退職医師による利用。
パソコンやUSBメモリ等
病院・医療機関における個人情報保護への対応方法
情報漏えい事故のほとんどが、個人情報の「持ち出し」や「運搬」という場面で多く発生しています。これに対応するには、実行可能なルールを策定し、情報漏えいを起こさない保護策を講じた上で、研修等で浸透・継続することが重要です。
-
情報漏えい事故のほとんどが、個人情報を預かっている組織の「人」による、個人情報の「持ち出し」「運搬」という日常業務の途中で多く発生している。
対応方法
-
ルール
ルールは、「人」が行動を起こす前の手続きに重点を置き、分かり易く、かつ実行可能なものを具体的に策定する。
⇒業務実態にかい離した守れないルールを策定しても意味が無い。
-
保護策
保護策は、「人」が情報漏えいや滅失を起こしても、第三者が容易な取得や利用が出来ないような仕掛け・仕組みで実行する。
⇒情報の秘匿化を基本にした対策を講じる。
![DPCA]()
-
研修
情報の利活用を前提に、「人」こそが情報の保護者であることを教育する。
病院・医療機関向け個人情報保護研修
個人情報の利活用と保護に関する講演形式の研修(全職員向け)を実施することで、医師・職員の情報セキュリティ意識の向上を目指すとともに、今後の情報セキュリティ構築のスタートラインとします。合わせて、研修アンケートの分析評価を行い、病院トップに対する報告会を開催して今後の対応を協議します。
病院・医療機関の情報セキュリティ対策の進め方
病院・医療機関向け個人情報保護研修を実施後、病院・医療機関における情報セキュリティ構築の進め方として、以下の通り、段階的な実施策を推奨します。
