みなと赤十字病院は2016年12月28日、患者情報の一部が入ったUSBメモリーを職員が紛失したと発表しました。同病院にいよると、みなと赤十字病院の初期研修医(嘱託医師)が研修目的で所持していた患者情報を保存していたUSBメモリーを鞄に入れて電車に乗車し、下車時に鞄 ごと紛失したとのことです。その後、現金を抜かれた財布が発見され、警察に盗難届を提出しましたが、現時点でUSBは見つかっていま せん。
■含まれていた個人情報
(1) 件数 全14件
(2) 種類 患者ID、氏名、生年月日、病院名、手術記録、放射線及び内視鏡の画像、検体検査、 内視鏡画像、心電図の記録
■経緯
平成28年12月23日(金)職員が、前日23時30分頃、東京メトロ副都心線千川駅から乗車し、みな とみらい線元町・中華街駅で降車しようとしたところ、持っていた鞄がないこ とに気がつき、新山下交番に遺失届を提出。
平成28年12月26日(月) 神奈川県警から財布(現金なし)等の拾得物があったとの連絡があり、盗難届 を提出。
■同病院の対応
(1) 対象患者には、お詫びのご連絡をするとともに、病院としても引き続き探索に努めてる。
(2) 個人情報の取扱い、情報管理のあり方等について、改めて周知徹底を図るとともに管理体制等 を確認するとのこと。
【サイバーセキュリティソリューションズの見解】
情報漏洩はサイバーインシデント(事件)に於いてもっともポピュラーなものですが、未だに減ることがないジャンルです。今回は職員のミスとも言えますが盗難事件ということで事件性が強い案件です。一見、サイバーセキュリティではない案件に見えますが、セキュリティは結局は人間がルールを決めて、人間が守るものです。システムで組める部分は極力、システムで防御するのが基本です。人間はミスをする生き物だからです。しかし、どんなに立派なセキュリティシステムを組んでも、利用する個人が守らなければどうにもなりません。そこで、セキュリティの社員教育も定期的に必要になります。またセキュリティに関するルールのことを一般的にセキュリティポリシーと言いますが、同病院についてはこちらの見直しも必要と見受けられます。今回は職員が重要なデータをUSBカードにコピーして、さらに外部に持ち出していました。初期研修医(嘱託医師)として院内での検討会議資料を作成するため、とのことですが資料なら病院内でも作成できるはずです。重要な個人情報を削除した資料を持ち出しても問題にはなりませんでした。個人によっては絶対に他人に知られたくない方もいることでしょう。
情報漏洩は、いま、自分たちが取り扱っている個人情報などが万が一、外部に漏洩したとき、どんな方にどんな被害が及ぶのかを十分、推測して取り組む必要があります。
⇒サイバーセキュリティ対策サービスはこちら
サイバーセキュリティソリューションズにお任せください。
PARTNER
