狙われる患者情報をどう守る? 事例に見る、医師と医療機関が取り組むべき個人情報漏えい対策

大谷 尚通 氏(特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)セキュリティ被害調査ワーキンググループリーダー)

2019年11月1日、徳島大学病院産科婦人科に勤務する医師が、海外出張の際にノートパソコンの盗難被害に遭いました。ノートパソコンには、氏名・住所・病名などを含む患者症例情報と、患者検査情報が合計3,217件保存されていました。

こうした医療機関における情報漏えいの報道は後を絶ちません。医療機関によるセキュリティ対策の甘さが原因のケースもありますが、医師を含む現場スタッフの不注意やITリテラシーの低さが原因で情報が漏えいするケースも散見されます。そこで今回は、医師個人が取り組める対策を中心に、個人情報の漏えい対策を紹介します。
解説いただくのは、個人情報漏えい事故の調査・分析を行う特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)で、セキュリティ被害調査ワーキンググループのリーダーを務める大谷尚通氏です。

 

1. はじめに

 米国では、高度な治療を行う医療機関から漏えいした富裕層の個人情報が闇市場で高値で売買されており、犯罪者がその個人情報を購入して詐欺行為に悪用する事件が発生しています。
 このように漏えいして悪用されることでより大きな二次被害が発生しないよう、個人情報は厳重に保護すべきと言われてきました。しかしその一方で、膨大な医療データを用いたビッグデータ分析や機械学習、AIの技術は、着実に医学の発展に寄与しています。個人情報を守る時代から活用する時代へ変化していこうとしている中で、医師はどのように個人情報を扱っていけば良いのでしょうか。

 

2.医療・福祉分野の情報漏えいの実態と与えるダメージ

 JNSA セキュリティ被害調査ワーキンググループでは、2002年から新聞やインターネットニュースなどで報道された個人情報漏えい事故情報を集計し、分析を行っています。われわれが2002年から2018年末までに収集した事故情報は、全部で1万6,877件ありました。そのうち、医療・福祉分野の事故は985件でした。合計被害者数は193万7,460人で、事故1件あたり約2,070人の個人情報が漏えいしています。(※)
 1回の事故で医療・福祉関連の組織から2,000人分もの個人情報が漏えいしてしまうと、患者のプライバシーが侵害されたり、不審なセールスの勧誘を受けたりするおそれがあります。特に、診療記録や患者の身体状態、病状といったセンシティブな個人情報(=要配慮個人情報)が漏えいした場合は、患者の精神的なダメージが大きい上に、差別・偏見などの被害を受けるリスクがあります。病院側は、患者からの多くの問い合わせに対応したり、再発防止策を導入したりと、事故を終息させるための対応に追われます。個人情報漏えい事故は、患者と医師、医療機関の全てに大きな精神的、経済的負担を強いるのです。
 医療・福祉分野において発生する情報漏えい事故は、一体何が原因なのでしょうか。次章で、情報漏えいの発生原因を紹介します。

※計算は漏えい人数が不明の事故を除いて行っています。

 

3.情報漏えいの発生原因

 表1は、2002年から2018年末までの医療・福祉分野における個人情報漏えい事故の原因を分析した結果です。原因は、誤操作、紛失・置忘れ、管理ミス、盗難、不正な情報持ち出しが多いようです。いずれも、コンピュータウイルスやサイバー攻撃ではなく、ヒューマンエラーやケアレスミスと呼ばれる人的な問題が要因です。

 

 

4.情報漏えいの対策を事例から学ぶ

 ここでは、事故件数が多い「誤操作」「紛失・置忘れ」「管理ミス」「盗難」「不正な情報持ち出し」について代表的な事例を挙げ、詳細な原因を分析するとともに、取るべきセキュリティ対策を紹介します。

■誤操作
 宛先の入力ミスや、操作ボタンの押し間違えなど、電子メールの誤送信による事故が多いようです。その他、FAXの誤送信や郵便物の中身の入れ間違いなど、個人情報の送信時の操作ミスに関連した事故が散見されます。

・事例
 ある医療機関がメール配信サービスを用いてお知らせを一斉送信する際に、同報機能(Bcc欄)を使う必要があったものの、誤って宛先(To欄)に氏名やメールアドレスを入力したため、約3,000人のメールアドレスが他の受信者にも表示されてしまいました。

・原因
 BCC欄に入れるべきメールアドレスをTo欄に入力

・対策
 お知らせメールの送付先がほとんど固定されている場合は、手動でメールの宛先を入力するのではなく、あらかじめ宛先がセットされているメールテンプレートを用意しておいたり、自動的に宛先が入力されるシステムを使用したりしましょう。加えて、操作手順書を作成して、操作ミスを無くしましょう。

 通常のメール送信の際の宛先入力ミスについても、メールソフトの誤送信防止ツールなどを活用することで、入力ミスの誘発要因をできる限り減らす、送信前のアドレス確認を習慣化するといった対策を取りましょう。
 なお、われわれが収集したデータには含まれていませんが、メール誤送信とは別に、医師の場合は現場でのカルテの取り間違いによる事故も発生していると推測されます。このようなケアレスミスは未然に防ぐことが難しく、これを無くすことは困難です。手間や費用を掛けて対策しても、あまり効果が上がりません。事故が起きたときに医師個人が迅速に対応できるよう、起こり得る事故を想定して事前に対応手順を考えておくことが被害を最小限に抑えるには効果的です。

■紛失・置忘れ
 「紛失・置忘れ」は、許可を得て病院外へ持ち出した個人情報を、移動中に置忘れたり、紛失したりする場合が該当します。事故の発生が個人の管理ミスによるものです。一般的には、紙の資料を紛失する・置忘れる事故が多いのですが、医療・福祉分野と教育・学習支援分野は、USBメモリを紛失する・置忘れる事故が多いという特徴があります。これまで医療・福祉分野で発生した紛失・置忘れは、USBメモリ(93件)、紙媒体(71件)、パソコン(30件)でした。

・事例
 ある医師が研究会で患者情報を使用するため、情報の持ち出しに使用したUSBメモリを紛失しました。USBメモリには、ある病気の治療を受けた患者約2,000人の氏名、住所、電話番号、治療日、治療内容、病状の情報が保存されていました。

・原因
 医師の管理ミスにより、USB メモリを紛失

・対策
 USBメモリのような小さな機器は紛失するリスクが高いため、紛失のリスクを考慮して、あらかじめデータを暗号化しておくと良いでしょう。また研究会での発表に必要な情報は、治療内容と病状の情報だけではないでしょうか。氏名、住所、電話番号を削除して匿名化したり、統計データに加工したりすれば、たとえ紛失したとしても被害を小さくできます。

■管理ミス
 個人情報を管理するルールに問題があり、組織の建物での使用や業者による輸送中に個人情報が記録されたデータを紛失した場合は、管理ミスと定義しています。原因が組織側にある場合が該当します。どの産業分野でも、個人情報を含む可搬記録媒体を建物内で紛失する事故が多く発生しています。個人情報や秘密情報が記録された媒体を、誤って通常のゴミと一緒に捨ててしまった事例もよくあります。

・事例
 担当者2人が立ち会って、書類と一緒に難病患者約5万人の個人情報が記録された光磁気ディスク(MOディスク)をダンボール箱で梱包して、ゆうパックで送付しました。送付先組織の担当者がダンボール箱を開封し、書類を受領しましたが、光磁気ディスクは見当たりませんでした。郵便局に依頼して郵送した経路を調査しましたが、光磁気ディスクが抜け落ちた痕跡はありませんでした。また両組織の建物内を徹底的に探しましたが、光磁気ディスクは発見できませんでした。

・原因
 梱包から開封までの間の光磁気ディスクの管理ミスによる紛失

・対策
 重要な患者データを含んだ媒体は、直接持参して確実に受け渡しましょう。運搬中に紛失するリスクもあるため、データの暗号化も必要です。また、コストと安全性のバランスを考慮すると、機密性(※1)とお互いを確認できる(※2)信頼性の高いデータ転送サービスを用いて情報を送付しても良いと思います。攻撃者の不正侵入による情報漏えいを防ぐには、特に二要素認証(※3)を備えたサービスの利用を推奨します。

※1:データの暗号化、アクセス制御などのセキュリティ対策を指します。
※2:相互認証、受信確認などのセキュティ対策を指します。
※3:二要素認証とは、「本人だけが知っている情報」「本人だけが所有しているもの」「本人の身体的特徴」の中から2種類の認証要素を組み合わせて本人確認を行う仕組みを指します。

■盗難
 「盗難」には、病院外への持ち出しが原因で泥棒やひったくり、置引き、車上荒らしにあって個人情報が盗まれる事件と、病院内で盗まれる事件の2種類があります。ほとんどは、個人情報そのものではなく、かばんやパソコンを狙った窃盗事件です。

・事例
 ある医療機関で、患者約1万7,000人分の個人情報が保存されたデスクトップパソコンが日中に盗難に遭いました。パソコンへパスワードを設定する規則はありましたが、当該パソコンにはパスワードが設定されていませんでした。

・原因
 デスクトップパソコンの盗難

・対策
 普段から不特定多数の人が容易に出入りできる環境になっている場合、デスクトップパソコンやノートパソコン、外付けHDDなどを簡単に持ち去ることができないよう、ワイヤーロックなどで固定して盗難対策をしましょう。犯人は、パソコン本体を盗んで売買することを目的にしているケースもあるため、他者がパソコンを使えないようにBIOS起動時のパスワードを設定する対策も有効です。またデータを暗号化すれば、情報漏えい被害を軽減できます。

 上記は、病院内で起きた事件への対策ですが、個人情報が保存されたパソコンやUSBメモリを病院外に持ち出したことによる盗難事件の場合も、枠内に記載した内容と同じ対策が有効です。置引き、車上荒らしによる盗難を防ぐには、これらに加えてパソコンなどを肌身離さず持ち歩く対策を行うことが効果的です。

■不正な情報持ち出し
 業務を行うため、職場で定められた情報取り扱いルールを逸脱し、個人情報を持ち出したことで、漏えい事故が発生した場合が該当します。医師や職員が、自宅で作業をするために個人情報が含まれたデータを無許可で持ち帰り、ウイルス感染や設定ミスで漏えいする事故が起きています。自宅の私有パソコンに個人情報を保存したことで漏えいした事故のほとんどに、ウイルス感染が関係しています。

・事例
 ある病院に勤務していた職員が自宅で仕事をするために、約800人分の個人情報が記録されたUSBメモリを無許可で持ち帰り、自宅の私有パソコンに個人情報を保存しました。その私有パソコンがウイルスに感染したため、パソコン内から個人情報を含んだデータが流出しました。

・原因
 個人情報が記録されたUSBメモリを無許可で持ち帰り、セキュリティ対策が不十分なパソコンに個人情報や機密情報を保存

・対策
 職場のパソコン・USBメモリの持ち出し禁止ルールを遵守してください。一般企業では、個人情報の扱いについて社員教育を行いルールの遵守を徹底させた上で、システム上でUSBなどの利用制限をかけ、パソコンから個人情報や機密情報を持ち出せない設定にしている会社も少なくありません。個人情報の漏えいによって起こり得る被害を想定し、扱っている情報がどれだけ注意を払う必要のあるものか、危機意識を持つことが重要です。
 仮に、仕事の都合上、持ち出しが許可されている場合は、「紛失・置忘れ」の対策と同様に、個人を特定できる情報を削除してから持ち出しましょう。データの暗号化も有効です。

 

5.今後予測される、医療機関や医師が扱う個人情報の変化

 われわれが作成したデータでは、これまで医療・福祉分野で起きた不正アクセスによる個人情報漏えいは2件に留まっています。しかし海外の複数の医療施設では、院内のネットワークにつながったコンピュータがランサムウェアと呼ばれているコンピュータウイルスに感染し、医療情報のファイルを強制的に暗号化して使用できなくなる被害が出ています。攻撃者は「暗号化されたファイルを元に戻して欲しければ身代金○千万円を支払え!」と脅迫します。
 もし今後、マイナンバーカードを利用して被保険者資格をオンラインで確認するシステムや、医療機関同士が医療等IDを使って患者の医療情報を共有できるシステムが導入されれば、必然的に院内ネットワークとインターネットが接続されます。ICT化を進めている各組織や企業と同様に、医療機関もインターネット上の攻撃者からサイバー攻撃を受けて、個人情報や機密情報が漏えいしたり、ランサムウェアの影響で業務が停止したりと情報セキュリティ被害が増加するでしょう。
 このように、本記事で分析できなかった「コンピュータウイルス」や「サイバー攻撃」といった外部からの攻撃の対策もこれから必要になってくるため、さまざまなセキュリティ脅威に備えた防止策を取ることを推奨します。

 

6.【まとめ】主な情報漏えい対策一覧表

 最後に、4章「情報漏えいの対策を事例から学ぶ」で紹介した医師個人で取り組める対策を表にまとめました。ここでは医師個人で取り組める対策と併せて各部門や医療機関が組織全体で取り組むべき対策も列記しているので、以下の対策の中から、それぞれの医療機関の特徴に合った、最適な対策の組み合わせを見つけましょう。

 

 

 ケアレスミス系の原因の対策(①,②,③)は、医師個人で取り組むことができる対策です。しかしセキュリティの統制管理(④)や大規模なシステム化を伴う対策(⑤)は、医師個人では実施できません。各部門や医療機関が組織全体で取り組むべき対策です。

 

7.さいごに

 医療・福祉分野では、ケアレスミス系の原因を中心に個人情報漏えい事故が発生しています。他の産業分野と比較すると、報道されている事故の数は多くありませんが、それでも毎年2~3万人分の個人情報が漏えいしています。情報漏えいを防ぐため、まずは発生件数が多い「誤操作」「紛失・置忘れ」「管理ミス」「盗難」「不正な情報持ち出し」に関するセキュリティ対策に医師個人や医療機関全体で取り組みましょう。
 これからは、マイナンバーや医療等IDを使ったシステムが普及して、個人情報を守る時代から活用する時代へ変化します。あわせて情報システム環境が変化し、サイバー攻撃のリスクが増加すると予想します。攻撃者は、どこかに弱い箇所が一つでも存在すると、そこから侵入して攻撃します。安心して医療機関で受診していただくためには、医師個人がセキュリティ対策のルールを守り、かつ診療部門、看護部門、医療技術部門、事務部門が一つになって情報セキュリティ対策を実施することが重要です。

<参考>
・NPO日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ「情報セキュリティインシデントに関する調査報告書 別紙 第1.0版

 

【関連記事】
「勤務医とマイナンバー【第3回】|マイナンバーは狙われている?」
「弁護士が教える医師のためのトラブル回避術第【11回】|患者さんの『個人情報』取扱説明書」

 

大谷 尚通(おおたに・ひさみち)
JNSA セキュリティ被害調査ワーキンググループのリーダー。情報漏えいによる被害や情報セキュリティ市場の統計分析、情報セキュリティに関する対策研究などを行う。
株式会社NTTデータ セキュリティ技術部 情報セキュリティ推進室 NTTDATA-CERT 課長として、情報セキュリティに関する研究開発、脆弱性診断、自社セキュリティ施策の実施、セキュリティ事故が起こった際の対応などを行う。情報セキュリティ・プロフェッショナル(CISSP)、コモンクライテリアプロフェッショナル。
ページの先頭へ