うつのみや病院でUSBメモリ紛失

うつのみや病院(栃木)で約700名分の特定健診受診者データが入ったUSBメモリが紛失しました。うつのみや病院の発表ページはこちら 個人情報が保存されたUSBメモリー紛失に関するお詫び

看護研究用にUSBメモリに保存

この事案については、いくつかのニュースサイトで見つけることができるのですが、有料記事ばかりで詳しいことが不明。しかし、看護師長が看護研究用に特定健診受診者のデータをUSBメモリに保存したみたい。そして病院の発表によるとそのデータには 氏名、年齢及び生年月日を含む健診データ が含まれていたようです。

紛失したのは先月25日から2月27日の間

病院の発表によると、紛失したのは2月25日から27日の間だそうです。すでに警察に遺失物届を提出したと。それはともかく、やはり発表まで1か月ほどの時間が経っています。病院による内部調査を行ってから調査結果の検証をすると、どうしてもこれぐらいの時間がかかってしまうものなのでしょうか。

以前、とあるセミナーで某病院さん(全国規模の半官のような(?)法人さん)は個人情報を保存していたメディアの所在がわからなくなったら、数日のうちに病院長による記者会見を行うことになっていると話されていたのを思い出します。私がいる法人は… 無理だろうな、きっと(苦笑)。

今後のこと

病院の発表には “今後どうするか” について次のように記されています。

原則個人情報は持ち出さない、やむを得ず持ち出す場合は、セキュリティ機能付のUSBを使用し、パスワード設定をしたうえで持ち出すこととする、等の運用規程を周知徹底するとともに、セキュリティ機能付のUSB等の厳重な管理体制を整備する

“やむを得ず” の定義がナカナカ難しい… というか、”やむを得ず” って、具体的にどういう時なのだろうと感じます。私が思いつくのは、医事会計システムで作成した請求データをインターネットVPN経由で提出するとか、NCDに症例登録するためのデータとかですが、それもUSBメモリなんか使わずにネットワーク経由で行います。

そのネットワークは論理的に分けていますが、そこはネットワークの設定でどうにかします。USBメモリ経由でやりとりするのとどちらがより安全なのかという議論はありますが、私はネットワークから外部に出すよりは安全なのではないかと考えています。

ちなみに私の今年度の検診データ… 日本酒の飲み過ぎが間違いない結果でした(爆)。飲む量を減らさないといけません。