医療機関の情報漏洩

電通の問題で残業をしないようになったけれども、結局パソコンを自宅へ持って帰って仕事をするので、結局、残業は名目上なくなるけれども、仕事は減っていないというなんとも皮肉な話が流れているのはすでにご存じでしょう。

先日、埼玉県立循環器・呼吸器病センターの男性医師が患者３６００人分の氏名、生年月日、処置内容を保存したUSBカードを自宅で整理するために持ち出して、途中で無くしてしまったというニュースが流れました。日を待たずして、今後は、埼玉県立小児医療センターで４０代の女性職員が入院患者４０人分のデータが入ったUSBカードを机に置いていて気がついたら無くなっていたというニュースも流れました。

他の組織と違って、医療データ漏洩は個人データの漏洩ということでニュースでも大きく取り上げられがちです。おそらく、一般企業でもニュースにならないまでも、パソコンの紛失や、USBの紛失は珍しいことではないのではないかと推測します。では、医療機関に限って見てみるとどんなことがわかるでしょうか？

資料はIBMのDeveloperWorksというサイトにある「Privacy and security of patient data in the cloud」という記事です。

この記事の中でHHS（米国保健福祉）がEPHI（electronic protected healthcare informations）として定義した事故のうち、５５％と半数以上が窃盗という古典的な手段による手口で盗まれており、一方、ハッキングによるデータ漏洩は６％と低いことが分かります。つまり日本に限らず、およそ世界的に、人間のうっかりミスを防ぐことで半数以上は防ぐことができることがわかりました。

では、このうっかりミスを防ぐにはどうしたらいいでしょう？簡単で手をつけやすい所を抑えてみると、

教育

 

やはり、まず職員に対するセキュリティに関する教育が必要でしょう。特に、様々なシチュエーションで起こる事故を具体的に示して、どのような対応を取ればいいかを教える必要があります。特に、スマホが院内のコミュニティやデータにアクセスできるような場合、その危険度を認識してもらう必要があります。

アップデート

 

院内のPCやスマホのアップデートを個人に任せると、必ずやらない人が出てきます。システム部門で強制的にアップデートする仕組みが必要です。

アンチウイルスソフト

 

最近の詐欺メールは文章を読んでも、偽メールだと気付きにくい文章が多く、うっかり圧縮ファイルを開いてしまうケースが後を絶ちません。アンチウイルスソフトを使うことで未然に防ぐことも可能になっています。

その他に様々な対策が先のIBMのページに書かれています。それにしても、ドクターは研究会や論文を書くためには患者のデータが必要なので、外へ持ち出すことが多いです。できれば、DropboxやOneDriveなどのクラウドに保存してPC本体には入れないのが最低限必要な防御方法でしょう。