こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
個人情報保護委員会は7月12日、医療分野の研究開発に資するための匿名加工医療情報に関する法律の医療情報取扱事業者である独立行政法人国立病院機構に対して、個人情報の保護に関する法律に基づく行政上の対応について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】医療機関で発生した個人情報の漏えいについて、行政指導が行われたということです。今回は、インシデントが発生した原因と、同様の問題を発生させないための対策について説明します。
今回のインシデントは、過去3回にわたり、患者の医療情報を提供したことで意図しない個人情報の漏えいが発生していたものです。原因として、患者番号の管理方法を変更したにもかかわらず、国立病院機構に情報共有を行わなかったために、システムの運用変更が行われなかったことが挙げられています。
国立病院機構が医療情報を提供するにあたり、患者番号を基に医療情報を抽出していました。何桁の患者番号を使用するかといった運用方法については各施設に委ねられており、各施設が最大10桁のうち何桁まで使用するかを決定または変更し、国立病院機構に報告することとなっていました。
特定の施設では当初、6桁の患者番号で運用している旨の報告を行い、医療情報を抽出する運用をしていましたが、患者数が増加し患者番号が枯渇する懸念が生じたことにより、患者番号を6桁から8桁にする変更を行っていました。
しかし、国立病院機構の担当者と正しく情報共有が行われなかったため、本来抽出すべき患者番号と下6桁の患者番号が一致する別の患者の医療情報が抽出され、提供されてしまったということです。
今回のようなインシデントを減らすためには、定期的な内部監査と、対策の仕組化が求められます。
セキュリティの運用では、定期的に内部監査を実施し、定められたルールが実際に守られているか確認し、必要に応じて是正することが求められます。今回のインシデントでも、対策として、定期的に自ら行う点検又は他部署等による監査を実施することが挙げられています。
再発防止策として、医療情報を提供するに当たって、患者番号のみならず、生年月日等の他の複数の情報と照合した上で、患者の医療情報を抽出する仕組みを導入することが挙げられています。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ