富山県のシステム会社の従業員が、
業務を受託している二つの病院から患者情報を不正に持ち出していたという
衝撃的なニュースが報道されました。
医療機関の皆さん、
委託先の管理はできていますか?
患者情報に接触する委託先がどんな作業を行っているのか把握できていますか?
https://www.intec.co.jp/news/2019/1202_1.html
(株式会社インテックHPから抜粋)
この手の事件は、2014年のベネッセ事件(※)が有名ですが、
非常に大きく報道されていたので、
その当時かなりの企業がセキュリティを強化したはずです。
この会社でもおそらく教育なども実施していたことと思います。
※2014年 ベネッセの顧客情報に関するデータベースの運用や保守管理を委託していた会社の(再委託先の)派遣社員が、データを不正に持ち出して名簿屋に転売。犯人は逮捕され、不正競争防止法違反(営業秘密の複製、開示)で、懲役2年6カ月、罰金300万円の判決が出ています。
それでも、事故は起こるときは起こるもので…
どんなに対策をしても、最後は「人」の問題なのかなと思わされます。
今回の事件は、持ち出した目的は明らかになっていないようですが、
医療機関にとっては、非常に身近なリスクですよね。
病院には電子カルテシステムを含む様々なシステムが導入されており、
その運用を外部に委託しているところが多いと思いますので、
委託先の管理状況もしっかりと管理する必要があります。
今回は、犯人がファイルを添付したメールを個人用のメールアドレスへ送信しようとしたところ、システムで検知。これを受けて調査を行ったところ、資料を自宅に持ち出していることが判明したということなので、電子データの漏洩はなかったようです。
このようにシステムで検知できる仕組みを導入していたことが、
本当に不幸中の幸いだったのかなと思います。
電子カルテシステム等の管理を委託している場合は、
少なくとも、以下のような対策を実施しておくことが望ましいです。
〇データの抜き出しをできないように制御する
〇作業室への私物PCやスマホの持ち込みを禁止する
〇委託先の従業員にも教育を実施する
〇一人で作業させない、もしくは作業室に監視カメラを設置する
〇アクセスログを取得し、定期的に確認する
医療機関に限らず、システム運用を外部に委託している場合は、
委託先の従業員にも個人情報や機密情報を持ち出すリスクがあるということを認識して、
改めて管理体制を見直すきっかけとして共有することをお勧めします。