海外における個人情報流出事件とその対応 第226回 米医療機関、患者情報のセキュリティ確保に苦心(1)
●米医療機関、患者情報のセキュリティ確保に苦心
1996年に米議会で可決、成立したHIPPA(Health Insurance Portability and Accountability Act:医療保険の携行性と責任に関する法律)。カルテなど医療情報の電子化を促進して、それに伴って医療機関側で、患者情報の漏
国際
海外情報
1996年に米議会で可決、成立したHIPPA(Health Insurance Portability and Accountability Act:医療保険の携行性と責任に関する法律)。カルテなど医療情報の電子化を促進して、それに伴って医療機関側で、患者情報の漏えいがないよう、セキュリティ確保やプライバシーの保護を求める法律だ。2003年の施行後、HIPPAを遵守していないとされると、罰金などの行政処罰などを受けるほか、刑事責任を問われたり、訴訟に発展するケースもあるとして、セキュリティベンダなどが、さまざまなサービスを提供してきた。医療機関側では職員の教育をはじめ、HIPPA遵守のため努力をかさねている。しかし、残念ながら医療情報のセキュリティ確保にはまだまだ問題が多いようだ。
●個人の関心から患者の記録を盗み見
6月14日付けでサン バーナーディーノ版『THE SUN』が、Community Hospital of San Bernardinoで大規模な患者の極秘情報漏えい事件があったと報じている。病院はその結果、25万ドルの罰金を課せられた。原因は職員の1人が204人の患者の医療情報に権限なしでアクセスを行っていたためだ。
事件は、放射線技師が臨床上の必要もないのに、コンピュータ上の医療記録に不正にアクセスしたというものだ。画像診断部門のマネージャーが、システム上の問題があったために日曜日に出勤して、技師の不審な行動に気付いた。質問したところ、レントゲンに関係のない、すなわち職務に無関係の臨床記録にアクセスしていたことを認めた。
その後、病院のプライバシーオフィサーの調べで、技師はコンピュータカルテシステムの患者情報にアクセスしていたことが分かった。このシステムには、患者の社会保険番号、住所、電話番号、診断内容、看護師のメモをはじめとする情報が全て含まれていたという。事態が判明したのは2009年2月23日だが、技師が自分の業務と関係のない情報を見ていたのは2009年1月から2月にかけてで、数回にわたって閲覧していた。調べに対して、この技師は流産していて、妊婦が受ける治療などについて知りたかったと答えている。
Community Hospital of San Bernardinoでは、その後、部外者立ち入り制限のあるエリアに職員が友人を招き入れていたことも判明している。入院事務を担当する職員が、訪れた友人を、カードキーを持つスタッフのみが入ることができる部屋の中に入れている。その結果、3名の患者と病院職員との間の
※本記事は有料購読会員に全文を配信しました
(バンクーバー新報 西川桂子)
《ScanNetSecurity》