医療機関は患者さんの診療情報を取り扱っている為、その取り扱いには日頃から最善の注意を払わなければなりません。しかしながら最近でも以下のようなニュースがありました。
患者11名分の個人情報が記録されたUSBメモリを紛失(O市立大学医学部附属病院)
→O市立大学医学部附属病院は2019年1月29日、患者11名分の個人情報が記録されたUSBメモリの紛失が判明したと発表した。
禁止された私物USBメモリに患者の個人情報を保存し紛失(K市立病院)
→地方独立行政法人K市立病院機構は2018年12月21日、個人情報が記録されたUSBメモリの紛失が判明したと発表した。
医学部附属病院の看護師が持ち出した患者情報が車上荒らしの被害に(K大学)
→国立大学法人K大学は2019年1月4日、同学医学部附属病院での患者情報漏えいについて発表した。
患者501名の個人情報が含まれているUSBメモリを紛失(A大学医学部附属病院)
→国立大学法人A大学は2018年11月16日、同学医学部附属病院の医師が個人情報が含まれているUSBメモリを紛失したことが判明したと発表した。
このような事例は今に始まったことではなく昔からたびたび起こっています。
なぜ、繰り返されるのか?ニュースを知るたびに当病院でも過信は禁物と自戒しております。
ですが一定数起こってくるこの手の不祥事に対し私達はどう対処し防止していくべきなのか、ここを考えていきたいと思います。
目次
個人情報保護法とは
まずこの問題を考える時、前提として知っておかないといけないことが個人情報保護法です。
これは、個人情報を取り扱う際のルールを定めた法律で平成17年4月に全面施行されました。その後の社会環境の変化等を踏まえて平成27年に改正され、この改正個人情報保護法が、平成29年5月30日から全面施行されました。
この改正により、法律の適用対象が拡大され、個人情報の数にかかわらず「個人情報をデータベース化して事業に利用している事業者」すべてが法律の適用対象となりました。
「個人情報保護法」の精神は、あくまでも個人情報の「有効利用」と「保護」にあります。
有効に利用する為には、適切な個人情報の取り扱いが不可欠であるという考え方に基づいています。
個人情報の定義
個人の氏名、住所、生年月日、電話番号はもちろん個人情報ですが、防犯カメラに記録された情報や音声であっても本人を識別できるものであれば個人情報となります。
また、数字と記号からなるメールアドレスやIDなど、それ自体では本人を特定できなくても、他の情報と照合することによって容易に特定の個人を識別することができれば個人情報となります。
例えば、第3者にとっては個人を特定できないID(患者・カルテ番号等)でも、院内にIDと住所・氏名が対応づけられた情報がある場合、そのIDは個人情報となります。
また医療機関の場合は、基本的な個人情報に加えて、カルテなど機密性が高く極めて慎重に扱われなければならない情報が多々あります。
例として以下のようなものが該当します。
診療申込書、保険証、紹介状、診察券、予約票、入院申込書、入院療養計画書、診療録、処方箋、検査依頼伝票、検査結果報告書、看護記録、レセプト、請求書、領収書、薬歴情報、退院証明書、手術管理情報、食事管理情報等
医療機関がなすべき対応策
個人情報保護法において、医療機関が個人情報保護のため果たす義務として最初に明記されているのは、措置の透明性の確保と対外的な明確化です。
つまり、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されているほか、関係法令およびガイドラインを遵守すること等、更に同法に定める事項を具体的に規定している個人情報の取扱いに関する規則において、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、個人情報保護と情報漏えい防止策の取扱等について、具体的に定めることが必要と考えられています。
個人情報漏洩のパターン
医療機関での個人情報漏洩の例を見るとパターンとして代表的なものに以下のようなものがあります。
置き忘れ,紛失
・院内(ロッカーや白衣のポケットに入れた後、PCに接続した後、所定の場所等から)で各種媒体(PC、USBモリ、書類など)が所在不明になった。
・電車やタクシー内にPC、USBメモリ等が入ったカバンを置き忘れた。
・PC、USBメモリ、書類などの媒体を院外(院外・院内不明な場合を含む)で紛失した。
不適切な持ち出し
・持ち出し禁止、持ち出す際の許可や暗号化・匿名化等のルールを守らずPC、USBメモリ、書類等の媒体を持ち出し(媒体へコピーし)、事故(紛失した、盗難に遭った等)を起こした。
誤送付
・検査結果等を誤った患者に交付した。
・番号を間違えて第3者にFAXを誤送信した。
不正アクセス
・電子カルテを目的外に閲覧し周囲等に漏らした。
盗難
・院内のPC、USBメモリ、デジタルカメラ等が盗まれた。
・持ち出したPC、USBメモリ、書類等が盗まれた(車上荒らし、ひったくり等)。
不正アクセス(マルウエア)
・院内のPCがウイルス感染した。
なぜ起こるのか?
2つあると思います。
1つは管理方法の徹底がなされていない場合ともう1つは情報管理の重要さ、取り扱いに対する認識の薄さです。
媒体の取り扱いについては、組織は、組織の資産に対する損害を防止するために、取り外し可能な付属媒体の管理、媒体の処分、情報の取扱い及び保管についての手順を確立しなければならない、となっておりこれについては各医療機関ごとに院内規定としてきちんとルール化されている筈です。
問題はそれが表面的なもので終わっていてチェック体制が機能していなかったり、管理責任を個人の裁量に委ねてしまっている場合がある、ということです。
そして、もっと問題と思うことは医療機関職員の情報管理に対する意識、モラルの低さです。これに対してはもっと徹底的な職員の教育、ルールの周知徹底をはかっていかねばなりません。
まとめ
医療機関として最低限すべきことは以下になります。
①持ち出し禁止
②匿名化
③暗号化
④職員教育、モラル低下防止の徹底
原則として個人情報の持ち出し禁止が、不適切な持ち出し等に起因する事故の防止につながります。
またあわせてUSBメモリ等の持ち運び可能な媒体へのコピーも可能な限り禁止することが、置き忘れ等の事故防止につながります。
しかしながら、業務の都合上媒体へのコピーや持ち出しが必要な場合も出てきます。そのような場合は,個人が特定されないように匿名化の加工やファイルの暗号化といったセキュリティ対策が必須です。
これらの処理により、媒体の置き忘れ等が発生しても,第3者がファイルの閲覧をしたり個人を特定したりすることができなくなります。
このようなケースは,実質的に外部へ個人情報が漏洩していないと判断されますので匿名化や暗号化は個人情報漏洩を防止する上でとても重要です。
そして1番大事なのが医療機関における個人情報の重要性をいかに全ての職員が認識出来るかにあります。
認識しているつもりであっても安易に情報を取り扱っているように思える場面がいまだ多々見受けられます。
医療機関で患者さんの情報を扱っていることがどれほど重要で、どのようなリスクがあるかということの認識を強めてもらうこと、そしてその為の院内教育の徹底こそが今後も継続的に必要になってきます。
医療機関で働く者としてモラルとリスクを忘れることなく、また事務側としてそのような意識づけを促していけるようにしていくにはすべきことがまだまだ多いです。
