個人情報漏洩:社内SE(病院SE)が思うコト
患者情報が入ったパソコンやUSBメモリを紛失したというニュースが後を絶ちません。たとえば先月も兵庫医科大学病院で患者情報が記録されているノートパソコンを紛失したとホームページに掲載されていました。
こういったニュースを目にするたびに「こういった事例はしばらくなくなることはないだろうな」と感じます。
病院における個人情報保護
昨年5月に改正個人情報保護法が全面改正されましたが、病院が個人情報保護に関して参考にしているといえば「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」が最初にくるでしょう。そして私のように情報システムを扱う者であれば、「医療情報システムの安全管理に関するガイドライン」も参考にします。
ガイダンス、ガイドラインにいろいろと書かれていますが、結局は “人" なんですよね。規則をガチガチにし、システムもその規則に沿う形でガチガチにしても、扱う人に遵守する意識がないとなんともなりません。たとえばこんな感じ。
データに患者名をつけて管理をしたがる
例えば、学会発表するので特定の患者の検査結果やCT、MRI画像が欲しいと依頼されることがあります。私がいる病院では、電子カルテのネットワーク内(インターネット接続不可のクローズドなネットワーク。データを持ち出せないようUSBインターフェース等制御下に)で使うだけであれば希望されれば患者名なども出力するのですが、電子カルテのネットワーク外、個人のパソコンで使うということであれば患者名は出力しないという規則です。こうすることで、仮にデータを紛失したとしても個人情報漏洩ではないようにしています。
しかし、医師によってはもらったデータにわざわざ患者名をつけて管理するんですよね。もちろん、そんなことはしない医師が多いです。しかし、年齢が上の医師は名前をつけて管理したがる傾向があるように感じます。もっとも、こんなご時世なのでそんな医師も最近は変わってきたようにも感じますが。
病院によっては外部からアクセスできる仕組みを準備
そんな状況なので、病院によっては個人のパソコンにデータが残らないように病院で管理しているサーバにセキュアにアクセスできる仕組みを構築しています(私がいる病院にはそんなな凄いものはありません)。兵庫医科大学病院ではありませんが、少し前に個人情報を紛失した病院でも今後の対策としてこういった仕組みの構築を検討するといったものもありました。私が話を聞いた病院では例で記した学会発表などで使うときも資料はそのサーバにあり、個人パソコンには保存できないようになっているそうです。
たしかにこうすれば個人パソコンに個人情報は残りませんし、仮に個人パソコンを紛失、あるいは盗難にあったとしてもサーバ側でアクセスできないようにすれば第三者がアクセスすることはできないのですが、やはりすべてが解決とはなりません。
というのは、医師は医局人事で数年ごとに異動します。異動した医師は当然このサーバにはアクセスできなくなるわけなので、医師自身がそれでは困ると考えて自身でデータを管理しようとします。
自分の症例DBをつくる
異動後は病院のカルテやファイルサーバを見ることはできなくなるために、自身の記録として、個人パソコンでファイルメーカーを使って手術記録をDB化している医師がいます。そのこと自体は何の問題もありませんが、そこに患者名があったりします。たしかに記録を管理するうえで何かしらの識別情報が必要なのですが…
何にしても医師個人が自分のパソコンで手入力して作成しているので、病院側で把握できません。紛失してはじめて病院側も知ることになります。そして、すでに退職している医師であっても「以前勤務していた○○病院での手術記録・・・」といた感じで報道されてしまいます。
だから「なくなることはない」と感じていますが、一方で変化も
ということで、結局、規則でどれだけ縛り、システムで対応したとしても、本人に遵守する意識がなければ「なくなることはない」と感じています。
ただ、最近は医師の意識も変わってきたようにも感じます。依頼されたデータを渡すときに患者名を消したことを伝えると「ありがとう」と言われることも少なくありません。こういった意識が一般的になればもっともセンシティブな個人情報の一つである診療情報が漏えいするような事例はなくなっていく… なくなってほしい。
他の病院ではどういった対策をしているのだろう?