海外における個人情報流出事件とその対応第186回課題を抱える医療機関での情報保護 (2)医療機関における職員からの漏えい

●安全確保が必要なモバイルデバイス

　『HIMSS分析報告書』によると、病院での漏えい事件だけで、2006年から2007年の間に150万件のデータが被害を受けている。これは病院のみであって、そのほかの医療施設からの漏えい件数は含まれていない。そして、医療関連のデータ漏えいで最も一般的なのが、スタッフが所有するノートパソコンやUSBフラッシュメモリなどのいわゆるモバイルデバイスが盗難、紛失されるというケースらしい。

　そのため、医療機関側ではノートパソコンの盗難による情報漏えいを避けるため、さまざまな規定を作成している。中でも一般的なものは、必要がなければノートパソコンには患者の個人情報は保管しない。もし保管する必要があるなら、置き引きの被害を避けるためにも、車内に放置しないなどというものだ。

　そして、規定を守らなかった職員に対しては、厳しい対応を行っている組織もある。例えば、11月1日に、約10万件の患者の情報が入ったノートパソコンが、テキサス州のBaylor Health Care Systemsの職員の車から盗まれたことが明らかになっている。

　パソコンに入っていたのは、患者の氏名、受けている治療内容、一部の社会保険番号で、盗難は9月18日もしくは19日に起こっている。被害に遭ったBaylor Health Care Systemsでは、パソコンを車に置いたまま現場を離れることを禁止していた。事件の結果、職員は規定違反を起こしたとして解雇されている。

　一方で、1,000ドルの報奨金を提示して、ノートパソコン回収に努めた。漏えい被害者への対応として、特に社会保険番号が入っていた被害者については、信用モニターサービスを無料で受けられるようにした。

　医療組織のモバイルデバイスのセキュリティについては、米国と英国で行われたアンケートを基にまとめられた『Mobile Device Usage in the Healthcare Sector』という報告書でも、モバイルデバイスの危険に注目している。病院のIT部門にとって頭が痛いのは、この報告書のアンケート回答者のうち5人に1人が、自分のデバイスを用いて、患者のデータを移動していると答えていることだろう。業務において、患者のデータを必要とするスタッフが、組織のデバイスから自分のノートパソコン、スマートフォンやUSBフラッシュメモリにデータに移すことは珍しいことではないようだ。

　報告書では明確にしていないが、スタッフ個人が所有するデバイスにデータを保管することは、組織の方針・規定に反している可能性が高いと考えて良いだろう。その場合、組織のIT部門が管理していないデータということになる。管理下にあるなら、ある程度のセキュリティ対策は期待できるが、管理外のものとなると、対策が採られていない可能性は高い。英国と米国の回答者のそれぞれ6％、18%が、これらのデバイスについて何のセキュリティも行っていないとしており、予想どおりと言っていいだろう。

　ただし、米国の23％の回答者については、暗号化、2種類の認証、スマートカードやバイオメトリクスなど、なんらかの厳しいセキュリティを適用しているそうだ。盗難を完全に防ぐのは無理だろうから、モバイルデバイスが必要なら、セキュリティを固めることで、データを保護することが期待される。

●職員が患者のデータでカード作成

　内部関係者によるデータ盗難事件も発生している。2008年2月にはテキサス州ダラスに本社を置くTenet Healthcare Corporationの元職員テレンス・ブルックスが逮捕された。Tenetは公共の医療施設としては米国第3位、米国ほぼ全体で、病院をはじめとする医療施設を所有、運営している会社だ。

　ブルックスはTenetの請求書処理センターに勤務していた際、患者の情報を盗んでいた。事件が明らかになってから、Tenetのスポークスパーソン、スティーブン・カンパニーは12月にアーリントン警察から、患者のデータが不正使用されている可能性があると連絡を受けていたことを明らかにしている。その後、捜査でブルックスの犯行であったことが確認され、解雇に踏み切った。

　逮捕時、ブルックスは約90人の患者の個人情報を所有していた。また、患者の個人情報を不正に使用して、コストコでクレジットカードのアカウントを開設しようとしたことがわかっている。Tenetでは、被害者に電話で状況について連絡をすると同時に、1年間の信用モニターサービスをオファーしている。

　ブルックスは業務の中で、約100カ所の施設から、3万7,000人のデータにアクセスが可能だった。Tenetではこれらの患者についても、個人情報盗難の可能性があることを通知している。しかし、ブルックスが不正に所有していたデータには含まれていなかったことから、データを使用された可能性は低いと考えている。また、ブルックスが勤務していたセンターでは400万人の患者のアカウントを扱っていたため、被害を受けたのは１％にも満たないとして利用者に安心を呼びかけた。

　同様の事件は去年から今年にかけて数件が報告されている…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec