税理士法人笠松・植松&パートナーズ

個人情報が漏洩! そのとき、医院に求められる対応とは

19.08.01
業種別【医業】
dummy
患者の個人情報と関わらずにはいられない医療従事者にとって、情報リテラシーの徹底は最重要事項の一つ。
しかし患者の個人情報が漏洩する危険は、医療現場のさまざまなところに潜んでいます。
もし情報漏洩が起こってしまったら、医療機関はどう対処するべきでしょうか?
今回は、患者の個人情報が漏洩してしまった際の対応策についてご紹介します。
dummy
漏洩のリスクにさらされる患者の個人情報

医師などの医療従事者が、患者に対する適切な診断・治療を行うためには、その患者から正確かつ詳細な情報を得ることが不可欠なため、院内では膨大な患者の個人情報が取り扱われます。
これらの情報には、患者の現在の病状のほか、住所や保険証番号、過去の病歴や生活習慣など、極めてプライバシーの高い内容が蓄積されており、厳重に保護される必要があります。

しかし、どんなに気をつけていても、漏洩が起きてしまうことがあります。
「待合室で患者と世間話をした後、持っていたカルテをそこに置き忘れてしまった」
「院内でPC作業中、スタッフからのメールと間違えて開封したところ、不正プログラムの入ったソフトウェアがダウンロードされ、患者の個人情報が漏洩してしまった」
「業務を持ち帰った際に、患者の個人情報が入ったUSBメモリを紛失してしまった」

これらはいずれも、実際の病院で起きてしまった事故のほんの一部です。
日夜激務が続く医療現場にあって、患者の個人記録は、常に漏洩するリスクにさらされているともいえます。


漏洩してしまったときの対応は?

万が一、患者情報が漏洩してしまった場合は、その患者への対応はもちろん、さまざまな方面への冷静かつ迅速な対応が必要となります。

まず、患者に対して取るべき対応には、次のようなものがあります。

・見舞金や見舞品の用意
・謝罪訪問
・問い合わせとなる窓口の設置
・事故原因調査
・事故被害範囲調査
・状況説明のための広告宣伝活動
・専門家による法律相談窓口の設置
・被害拡大防止や風評被害への対策  など

事故原因調査や事故被害範囲調査は、一見、患者には関係ないように思われるかもしれません。
しかし、状況説明の際に数値などの詳しいデータを提示することは、誠意を持って対応していることを伝えるためにも必要です。

次に、警察や監督官庁など公的機関への届出や、クレジット会社への協力要請といった、外部機関への対応が必要です。
場合によっては、マスコミへの公表も視野に入れる必要があるでしょう。

そして病院内部への対応も、迅速に取り組まなければなりません。
まずは正確な原因追究と、それに基づいた再発防止対策の施策、そして再発防止のための研修を実行することまでが急務です。
特に、再発を防止するためには、漏洩した原因ごとに異なる対策を行う必要があります。
たとえば、建物内へ侵入された場合には、侵入システムの見直しが必要ですし、もしサイバー攻撃を受けたことが原因なら、コンピューターシステムの再構築が必須です。


漏洩防止のための『3省3ガイドライン』

また、情報漏洩の再発防止に向けた対策を立てるにあたって見直しておきたいのが『3省3ガイドライン』です。
これは、医療情報を電子化して外部媒体に保存する際に守るべき指針で、医療情報システムの安全管理などへ適切に対応するため、厚生労働省、経済産業省、総務省の3省がそれぞれ下記の通り設けています。

(1)厚生労働省『医療情報システムの安全管理に関するガイドライン』
(2)経済産業省『医療情報を受託管理する情報処理事業者における安全管理ガイドライン』
(3)総務省『クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン』

厚生労働省のガイドラインは医療情報システムを運用する医療機関が対象で、経済産業省と総務省のガイドラインは情報システムのサービスを提供する事業者が対象となっています。
いずれも接続元IPアドレスの制限や、不正侵入を検知・防御するシステムの導入、クラウドサーバーへのログの保管体制の整備といった、患者の個人情報を取り扱う際に最低限行うべき運営管理が示されています。

電子カルテや医療用画像など、膨大な患者の個人情報がデジタルデータで管理されている現在、医療機関はそのデータを、クラウドサービスなどの外部設備に保存しています。
これらを行う事業者はもちろん、その事業者のサービスを運用する医療機関まで、すべての当事者が、この『3省3ガイドライン』の内容をよく理解し、遵守している必要があるのです。


スタッフ間で「絶対に守る」意識の徹底を

また、医療機関のスタッフ全員で「患者の個人情報を絶対に守る」という意識をあらためて共有し、日頃の業務のなかで実行していくことも重要となります。
先述した事例が示す通り、病院で起きる個人情報の漏洩事件の多くは、うっかりミスを原因とするものです。
そのため、情報漏洩へのいちばんの対策は、情報を扱う人間への意識づけであるといっても過言ではありません。

厚生労働省は医療分野における個人情報に守秘義務を定めており、違反した場合には、懲役や罰金などが科されることもあります。
医療情報は、患者の尊厳に関わるものであることをいま一度よく心得て、患者情報を取り扱う際には十分に注意しましょう。


※本記事の記載内容は、2019年8月現在の法令・情報等に基づいています。