知って得するセキュリティのはなし その28
大学病院、メール誤送信により患者情報3275人分流出の可能性
1.このニュースをザックリ言うと
- 8月5日(日本時間)、横浜市立大学附属病院より、臨床研究に用いる膀胱がん患者3,275人分の個人情報について、メールの誤送信により流出した可能性があると発表されました。
- 個人情報は、同病院を含む神奈川県内20病院で2010~2014年に膀胱がんの手術を受けた患者の氏名・生年月日・性別・初回手術日・手術後の治療および再発の有無等、センシティブな情報を含む約70項目が含まれていたとのことです。
- 同病院の医師が7月24日に協力病院等の医師22人に対し症例データをメールで送信した際、13人分のメールアドレスを間違え、うち11人分はエラーで戻ってきたものの、残る2人分に対し送信された可能性があるとのことです。
2.執筆者からの所感等
- 同病院による研究計画書では、症例のデータは匿名とし、協力病院とデータをやり取りする際は直接届けるか郵送することになっていましたが、遵守されておらず、やはりルール違反であるメール(かつフリーメールサービス)を用いてやり取りする体制が常態化していたとのことです。
- 照合作業が煩雑になるという理由で患者データの匿名化を行わないようになったこと、あるいはデータの暗号化を行っていなかったことを含め、様々な運用上の問題が重なって発生した事例と言える一方、データの共有手段が不便なものに限定されたことにより、逆に安全でない手段が密かに導入された可能性も見過ごせないものがあります。
- 一般的なデータ共有についての話とはなりますが、多数のメールアドレスをメーラーに入力して送信するやり方に代えてメーリングリストを用意する、その他メールの暗号化や誤送信防止等を自動的に行うソリューションを採用する、場合によってはデータ共有のためにオンラインストレージを用意する等、安全性を最優先としつつも利便性も確保し得る手段を検討し、それらが十分な説明・周知のもとに正式に採用されることが最も望ましいと言えるでしょう。