過日発生に係る個人情報の不正持ち出しの件(ご報告)
2022年3月31日
去る2021年9月30日の、当院医師(当時)による個人情報の不正持ち出し(以下「事案」といいます。)に関する報道につきまして、患者様及び関係者の皆様に多大なるご心配をお掛けいたしました。
なお、当法人としては、個人情報が個人の人格尊重の下に慎重に取り扱われるべきであるとの個人情報保護法の基本理念(同法3条)を改めて銘記するものであり、本報告が「個人データの漏えい等の事案が発生した場合等の対応について」 (平成 29 年個人情報保護委員会告示第1号)の趣旨を踏まえたものであることを付け加えさせていただきます。
記
1.事案発覚の経緯
2018年11月11日(日)夜間、横浜院受付で作業する者を、業務上で立ち寄った別の職員が目撃。不審に感じ調査したところ、当該医師と医療事務員が、館内照明を点けず暗い中で、レセプトコンピュータから何らかのデータをUSBメモリへコピーと情報をプリントする様子を防犯カメラ映像にて確認。事案の報告を受け、院長が当該医師と医療事務員にその記録媒体の提出を求め、内容を確認したところ、患者情報を含む当院の営業秘密情報であることが判明しました。
2.不正に持ち出された情報
アクセス権限が制限されている、レセプトコンピュータの「住所検索」機能を使って抽出された2018年7月1~11月8日に横浜院に来院された患者情報6,433件に関する次の内容。
「患者コード」、「氏名」、「性別」、「生年月日」、「保険者番号」、「頭書登録年月日」、「記号番号」、「郵便番号」、「住所」、「電話番号」
3.事案発覚後の対応
事案発覚後、当該医師から上記不正持ち出しに係る患者情報を回収するとともに、事案の経緯・状況を文書にて報告させるなどした上、顧問弁護士も交えた協議の結果、その時点では、当該患者情報が不正に使用される可能性は限りなく低いと判断しました。
しかしながら、事案発覚から1年経過後、当該医師が突如退職したことにより、患者情報不正使用の可能性が再浮上したため、神奈川県警察に被害を申告した上、告訴を行ったところ、所要の手続が取られました。患者情報の入ったUSBメモリについては、そうした一連の手続きの中で回収いたしました。
その後、当法人は、上記個人情報保護委員会告示第1号に基づき、本件事案について、個人情報保護委員会に所要の報告をいたしました。
4.再発防止に向けて
本件事案の発生を受け、再発防止対策として、内部関係者からの不正アクセスに対するセキュリティ強化を図り、事案発覚後、速やかに、レセプトコンピュータを更にセキュリティの高い機種に変更し、定期的にログの精査を実施、不正アクセスがあった場合は、直ちに管理担当者にアラームが届くシステムを導入しました。また、個人情報を保管しているエリアや個人情報にアクセスできる権限を付与する者を極力最小限に抑え、患者情報の取扱いについては、情報セキュリティポリシーや文書取扱いの諸規程の厳格な適用を徹底しており、今後、二度と同種事案が発生することのないよう、一層万全を期してまいります。
医療法人社団 秀仁会 深作眼科