ドイツに本社をおく、医薬品メーカーのバイエル薬品は、「2012 年から 2013 年にかけて行われた「血栓症領域製剤の服薬における患者様の嗜好に関するアンケート調査(以下、アンケート調査)」に関する一連の問題について、患者様、医療関係者をはじめ、多くの関係者の皆様に多大なご迷惑とご心配をお掛けしましたことを、改めて深くお詫び申し上げます」と謝罪しました。
この問題は同社が実施したアンケート結果を、対象の患者の同意を得ることなく、無断で同社の社員が取得し、講演会(2012 年 7 月10 日)、座談会(同年 9 月 1 日)、講演会(2013 年 4 月 16 日)における医師 1 名による講演資料およびアンケート調査の考察論文へのデータ活用されていたとのことです。
【患者情報】
アンケート調査の回答用紙、患者様カルテ、患者台帳の出力用紙
に含まれる氏名、カルテ ID、年齢、性別、生年月日、身長、体重、主病名、検査値、保険者番
号など【 学術活動における倫理上の問題について 】
今回の問題点としてはまず、当該者に利用目的の同意を得ずにアンケート結果を使用したという問題があります。先に改定された個人情報保護法でも個人の病歴については「要配慮個人情報」として慎重に扱うこととして新設されたばかりです。
またこういった学術資料の根拠として使用する場合はアンケート調査・使用経験調査、医師講演・座談会、医師考察論文のいずれにおいても、企画や調査の実行に際してメディカルアフェアーズ部門による関連法令やガイドラインへの該当性等の検証が必要です。さらにデータ集計
時に複数の集計ミスが生じ、一部正確性を欠いた集計結果が講演資料や論文に記載されていました。【問題発覚による同社の対応の問題】
同問題が発覚したのはアンケートを実施した同社社員の1名が、社内に患者様カルテの閲覧事実等の通報を行ったことが発端でした。しかしこれを受けた同社の社内コンプライアンス部門による調査が行われましたが、その過程では、今回外部専門家による調査で指摘された個人情報保護法への抵触の可能性などが考慮されず、また、それ以外の一連の問題についても問題点の把握が十分ではなく、患者アンケート調査に付随するさまざまな問題の可能性を含む幅広い調査を行っておりませんでした。
つまり、適切な知識無くアンケートを実施した同社社員とそれを把握し、本来は適切な対応を行うべきの同社側にも問題が散見されていました。
【再発防止について】
同社では外部専門家による調査結果において、個人情報の取り扱いに関する認識の甘さが指摘されたとし、これは、個人情報を不適切に取得した 3 名の弊社社員の問題に加えて、それを知り得たコンプライアンス部門による調査において問題の重大さを適切に評価していなかった問題も含めた指摘であると理解しているとしています。
同社では
「個人情報の取り扱いに関する教育の徹底」
「アンケート調査運用における社内規定の策定
「グループ全体のガバナンス管理体制」
などを新たに制定し、「今後、弊社は、再発防止策の実行に全力で努めるとともに、患者様、医療関係者の皆様からの信頼を回復すべく、全社を挙げて真摯に取り組んでまいります。 」としています。
詳細;バイエル薬品株式会社
今回の問題はサイバー攻撃による問題ではありませんが情報漏洩で一番多い原因は人間による問題です。操作ミスや意図的な犯行など様々ですが、こういった問題が起こった場合、誰がいつ、どうやって行ったのか、の検証が必要になります。そのとき、有力な証拠となるのがログです。社内ネットワーク上から情報を持ち出したりコピーした場合、ログを抑えることでこれらを把握することができます。実はサイバーセキュリティ対策の一つであるログ管理は、平常時は、サイバー攻撃の監視を目的としていますが、一度、インシデントが起こると、今度は有力な証拠となるのです。この証拠がないともし取引先から疑いをかけられたときには、反論することができません。弊社ではこのログ管理の大切さをご説明すると共に、適切に管理する方法もご提供しています。
PARTNER
