病院の情報漏洩に備えるために知っておきたい事故事例と対策

病院ではたくさんの個人情報が取り扱われています。
取扱うデータは氏名・住所だけでなく、身体や病気、障がい情報などの機微情報が含まれ、極めて慎重に取り扱わなければなりません。

病院には職員以外にも業者など多くの人が出入りし、第三者がPCに接触可能な場所も存在しています。
また、電子カルテや医事会計システムの導入が進んだことによるPC台数の増加も病院の情報漏洩事故リスクが高まる要因となっています。こういった背景から医療業界には、情報漏洩対策が急速に求められています。

今回は、病院における情報漏洩事故の特徴と最近の情報漏洩事故事例のご紹介、また情報漏洩事故を発生させないための対策をご紹介いたします。

医療機関における情報漏洩事故経路

NPO日本ネットワークセキュリティ協会が実施した調査によると医療・福祉業界における情報漏洩経路は、USB等可搬記録媒体による事故の発生率が他業種に比べ高いことが報告されています。

引用：「2013年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編～」
（NPO日本ネットワークセキュリティ協会）

この結果からも読み取れるように、今医療機関ではUSBメモリの運用ルールの明確化や再周知、また私物のUSBメモリの使用を禁止する等徹底した管理が求められています。
ウイルス感染の危険性の観点から考えると、持込PCの管理も必要となってきます。

情報漏洩事故事例

ニュースでもよく取り上げられていますが、実際に起こった情報漏洩事故の事例を見ていきましょう。

患者283人の個人情報含むUSBメモリを紛失 – 某県立医大病院

3月11日にUSBメモリを使用しようとした際、なくなっていることが発覚。前日10日に職員が執務室にあるパソコン内の検査所見を印刷するため、プリンターがある別室でUSBメモリを使用したが、それ以降の所在がわからないという。

紛失したUSBメモリには、同院の精神科を受診した患者283人の氏名やID、生年月日、年齢、検査所見などが保存されていた。USBメモリやデータに、パスワードは設定されていなかったという。

同院では警察へ紛失届を提出するとともに、対象となる患者に書面による説明と謝罪を行う。また別室へ持ち出す必要がないよう、執務室へプリンタを設置。USBメモリの利用を中止した。

出展：Security NEXT　http://www.security-next.com/

病院職員が個人情報を持ち出しか – 削除されたデータの復旧作業で判明

千葉県の某病院において、職員が個人情報を持ち出した可能性があることがわかった。持ち出したと見られる職員は返却せず、すでに退職しているという。
同院によれば、同院精神科デイケア科で利用されている「高齢者能力維持・予防プログラム」のスタッフ用パソコンから、データが無断で持ち出されたもの。

同パソコンに保存されていた業務関連データが何者かに削除されたことが2015年10月30日に判明。
その後のデータ復旧作業から同パソコン内から個人情報を含むデータがUSBメモリにコピーされ、持ち出されていたことが判明したという。

パソコンのアクセス履歴や、複数の目撃証言から、持ち出した可能性が高い職員を特定。同院では同職員にデータを返却するよう求めたが応じず、11月30日にそのまま退職したという。

持ち出されたデータは、プログラムに登録されている利用者の氏名や住所、電話番号、IDのほか、緊急連絡先の氏名や続柄、電話番号、通所開始日などが含まれる。
同院では、対象となる利用者に書面で謝罪。所管する健康福祉センターへ届けた。

出展：Security NEXT　http://www.security-next.com/

今回ご紹介した事例は2件ですが、これ以外にも情報漏洩事故は数多く起きており、報告されています。NPO日本ネットワークセキュリティの調査では、情報漏洩事故の発生原因は
8割以上が職員の不注意によるもの。という報告が出ており、賠償などの金銭的被害だけでなく病院の信用失墜のリスクもあります。

情報漏洩事故を防ぐ対策

このような事件が実際に自分たちの病院で起きたら･･･と思うとゾッとしますね。
ではこれらの情報漏洩事故を防ぐためには、どうすればいいのでしょうか？今回は内部からの情報漏洩対策について考えてみましょう。

－病院内ルールの明確化・教育－

内部に対する情報漏洩対策は、「抑止」と「防止」の2種類に分類できるとされています。
「抑止」は、情報漏洩がもたらすリスクや、事故が発生してしまった場合の影響を最小限に抑えるために行う対策で、「防止」は、情報漏洩事故が発生しないために行う対策です。

これらを行うにはルールの明確化やスタッフへの周知・教育の徹底が必要となります。医療機関では「医療・介護関係事業者における個人情報の適切な取り扱いの為のガイドライン」が定められており、法の規定により厳格に遵守することが求められています。

例えば･･･

「医療・介護事業者は、その取り扱う個人データの漏洩、減失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と記載されています。

－情報漏洩させないための仕組みづくり－

モラルや人的ミスを防ぐ為には徹底した教育が必須となってきますが、次は情報を持ち出させないための物理的な対策を見ていきましょう。

外部からのウイルス攻撃対策としてセキュリティソフトを入れておられる医療機関は多いと思います。しかしながら、内部の情報漏洩対策はこれでは対応できません。最近の傾向として、ファイルを暗号化しUSB等の外部記憶媒体の盗難による情報漏洩対策を取られている病院が増えてきています。
また、USB等の外部記憶媒体にデータをコピーする際に自動的に暗号化を行うソフトも登場してきています。

更に、近年教育機関・一般企業だけでなく医療機関にも導入されているのが情報漏洩対策と資産管理を併せて行えるツールです。電子カルテ導入に伴い、管理端末が増え情報システム部門の作業・役割が大幅に増えたことも背景にあるようです。

今回編集部がご紹介するのは、藤原竜也さんのCMをご覧になられた方もいらっしゃるかと思いますが、「クライアント運用管理ソフトウェア　SKYSEA Client View」です。

SKYSEA Client ViewはクライアントPCをはじめ、さまざまなIT機器やソフトウェア資産を一元管理することで運用管理を支援し、より安全な情報漏洩対策やIT資産の有効活用をお手伝いするソフトウェアです。
このツールでは情報の持ち出しをさせないために

・サーバーへのアクセス制限
・機密情報の取り扱いに関するログ収集
・アクセス履歴監視
・許可されていないUSBや端末の検知　・遮断等の機能が備わっています。

いつ、誰が、何をしているか把握できていますか？

SKYSEA Client Viewでは、クライアントPCの操作履歴をログとして取得し、いつ、誰がどんな操作をしているかを管理者が知ることで問題点を把握することができます。
例えば、不審なファイル操作をしていないか早期に発見することができます。

私物のUSBメモリが使われていませんか？

十分な管理が行えないまま、私物のUSBメモリを使用していると、紛失やデータを入れたまま自宅でUSBメモリを使用するなど、情報漏洩事故の危険性が高まります。
SKYSEA Client Viewでは、USBメモリを管理台帳に登録でき、USBメモリ毎に使用可能/不可能の設定が可能です。許可されたUSBしか利用できないため、有効な情報セキュリティ対策が行えます。