インテック社員が委託元病院から個人情報持ち出し
インテック社員が業務受託をしている高岡市民病院および市立砺波総合病院の2つの病院から個人情報を持ち出したというニュースがありました。インテックによる発表はこちら。
インテックという会社
富山のITベンダーです。システム構築、ソフトウェア開発、アウトソーシングなどイロイロとサービスを提供しているしています。企業向けが主なので富山県の方を除くと一般的にはなじみが薄いかもしれませんが、私は就職活動をしていた20年以上から知っている会社。
大学の友達が就職した東洋情報システム(現TIS)と合併したり(合併したときはすでにTISだったかな?)、Uターンしてからは広島支店(?)の方が一時期営業に来られたりしていました。
特定メーカーに属さない独立系SIerとしてはかなり大手ではないでしょうか?
持ち出した個人情報
インテックの発表によると、社員が持ち出した情報は高岡市民病院32名分、市立砺波総合病院11名分の患者氏名、生年月日、性別、住所といった個人情報。それを"紙媒体で"持ち出したようです。
持ち出した理由がわからない
まだ調査中なのかもしれませんが、発表された情報からはわかりません。"悪意を持って持ち出した"を前提として勝手に想像すると、紙媒体で43名分なので、大量の個人データをどこかに売ろうなんてことではないでしょう。ただ、データとして持ち出すと、チェックにひっかかるのであえて紙媒体としたとも考えられます。
逆の見方で43名分が選ばれた者だと考えると、地元(富山)の有力者の情報なのか、持ち出した社員の知り合いとか…
“悪意を持って持ち出した"のでなければ、発表の[■持ち出した原因-(3)弊社社員固有の問題]に次のようにあります。
・お客さまの情報を扱うことに対して、根本的なセキュリティ意識が欠如していた
“セキュリティ意識が欠如していた"とあります。何かシステムに関するトラブル、あるいは問い合わせ対応で調査するために本来持ち出してはいけない情報を持ち出したのかな? 50歳代社員ということだから、昔のゆるい感覚のままだったのか。
何にしても想像しかできません。
自身に当てはめて考えてみると
私が働いている病院には運用の業務委託で入っているベンダーはいませんが、富士通(あるいは協力会社)のエンジニアさんはよくいらっしゃるわけで。
これまで何かトラブルが発生したことはありません。でも、この事案をきっかけとして発表資料にあるような"本件事案の対策"をお願いされたら… こんなことを思ってはいけないのでしょうが… 正直面倒(汗)。
といっても、"ベンダー側で責任を持ってやるべき" は当然としても、やはり患者さんの個人情報を預かっている病院として、チェック機能は必要ですね。