3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.19(木)

3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

公立大学法人横浜市立大学は8月5日、横浜市立大学附属病院の泌尿器科にて同院の研究倫理委員会で承認された研究計画書を遵守せず患者情報が適切に取り扱われなかったため患者情報の漏えいが発生したと発表した。

インシデント・事故 インシデント・情報漏えい
公立大学法人横浜市立大学は8月5日、横浜市立大学附属病院の泌尿器科にて同院の研究倫理委員会で承認された研究計画書を遵守せず患者情報が適切に取り扱われなかったため患者情報の漏えいが発生したと発表した。

これは7月24日午後9時頃に、同院泌尿器科の医師が臨床研究に関係する医師計22名のアドレスに患者情報の記録されたExcelファイルをメール添付し送信したが、エラーとなったアドレスが多かったため、学内のメール環境に問題があると思い個人のメールアドレス(Hotmail)から再度送信したところ、その時点では6アドレスに送信できず、翌7月25日午前12時頃に当該医師が送信できなかったアドレスの2名に電話確認したところ、操作ミスでメールアドレス内に数字表記があるアドレスの数字がズレていたことが判明、最終的に送信した22名の内正しいアドレスだった9名は送信され、間違ったアドレスの内11名はエラーで戻ってきたが、2名については送信されたことが判明したというもの。

同日午後2時30分に、当該医師から附属病院総務課に報告があり、午後8時30分に宛先不明のアドレス2件に謝罪とメール削除、返信の依頼をメール送付、その後再送信もしたが8月5日時点で返信は無いという。

流出したのは、同院を含む20の病院が保有する泌尿器科患者(2010年から2014年の間に初発の膀胱がんで手術をした方)の症例3,411件で、患者氏名、生年月日、性別、初回手術施行日、腫瘍性状、手術後の治療、再発の有無等が含まれていた。

同院では8月5日に、対象となる全患者に対し手紙を発送し問合せ窓口を設置した。

同学によると、同院泌尿器科の責任医師が、患者データの集計の際に匿名化された情報では照合作業が煩雑になるために、次第に研究計画書を遵守せずに、協力病院医師に対して氏名、生年月日等の個人を特定できる情報を含めた調査票の記載を依頼していたことが原因。また、個別の病院と必要な情報のみをやり取りすべきところを他病院の患者情報を含め一斉送信し、メールアドレスの確認や、パスワードロックを怠っていた。

同院では今後、患者情報等の適正管理を継続して徹底するため、病院長直属の多職種による調査チームを常設し、各診療科の患者情報等の管理体制に関する立ち入り調査を実施、第三者を含む調査委員会を設置し各診療科の管理体制など問題点の把握と再発防止策の検討・提言を行うとのこと。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×