[2021.04.01] 医療機関の個人情報保護とセキュリティ |
|
医療機関や関連施設からの情報漏洩(未遂を含む)の記事が毎日のように挙げられています。昨今では、サイバー攻撃の標的にされる事例も見られますが、以前より存在する、紛失や誤送信などの所謂「うっかり」ケースに分類されるような人的ミスによる事例も継続して発生しています。また、昨年からはコロナ関連情報の公的機関からの情報流出が目立っています。 医療機関等で扱う個人情報は多種ありますが、その使途を主に以下の4種類に分けてみます。 【一次利用】診療、看護等に利用 【二次利用】教育研究、経営管理、統計分析等に利用 【三次利用】地域連携等に利用 【四次利用】学会発表や論文、認定資格取得等に利用 このような利用環境の中で、現在は、医療機関に限らず多くの組織体で情報セキュリティ規程や運用規定を整備し、情報システム室がデータの抜き出しやPCの持ち出し、USBの利用制限等の管理を行うようになっています。また、不正アクセス対策もしっかりと施されています。上記利用時の元データが格納されているサーバーに直接アクセスされ、診療データや研究データを抜き出されるという事例は稀です。 個人情報漏洩の発端となりやすいのが、上記のそれぞれの利用の間に発生する「人の動き」です。利用の際の、データを取り扱う「人」の介在に起因する「うっかり」事例が後を絶たないことに改めて注目する必要があります。 ◆代表的な「うっかり」……PCやUSB、書類の紛失、メール誤送信、郵送物の誤発送、等々 規程の策定や運用、サイバー攻撃防止策の施行は大前提です。それらに合わせて、「人」の「うっかり」をいかに排除していくかが重要となります。「うっかり」は誰にでもどこでもいつでも起きることを念頭に、『うっかり認識の植え付け』を計画的かつ継続的に実施していく必要があります。 実施の際は、院内の規定や規則だけを説明するのではなく、「人」の日常の些細な、しかし必ず起こるような「動き」を事例として挙げ、利用時に「人」が介在することの脆さを身近に感じさせること、認識してもらうことが重要です。 入社研修での認識付け、年複数回の研修実施、日頃の行動の定期的な振り返り、自院・他院事例の公開等、くどいほどのメニューを策定し、確実に実施していく必要があります。 ◆些細な「動き」……席を立つ、書類を運ぶ、PCを動かす、宛名を書く、メールアドレスを打つ 「うっかり」は言葉で表すと単純ですが、そこに「人の心理」が介在する厄介で複雑な要因です。永遠の課題として取り組んでいくことが求められます。まずは、自組織において、前述の4つの利用時の間の「人」が持つ認識の欠如や緩みがないか再検証してはいかがでしょうか。 (ご参考) 弊社では、情報セキュリティに関するご相談、ご支援を賜っています。お気軽にご相談ください。 また、弊社グループ会社である(株)グローバルセキュリティエキスパートでは、標的型メール攻撃訓練を受託しています。併せてご一考ください。 |