［RMG10］No.13 患者情報漏洩のリスクマネジメントを考えるヒント十ヵ条

（執筆者）俯瞰マネジメント研究会　|　塚田智　

新時代のリスクマネジメントを考える十ヵ条シリーズ（RMG10）とは 世の中はICT社会化が加速しており、産業革命以来の大変革の時代という人もいます。個人情報を多く扱う医療機関は、これまで誰も考えたことがない程のICTリスクにさらされます。リスク対策に必要なことは前もって「考える」こと。倶楽部オベリスクのeアカデミアコースでは”考えるためのヒント”を提供しています。三人寄れば文殊の知恵です。当サイトではその一部を公開しています。もしご興味がございましたら、是非倶楽部オベリスクのeアカデミアコースへご加入ください。

１．デジタル化の進行とともに、情報管理リスクは増大する。情報システムの規模が倍になれば、リスクは4倍になると考えた方が良い。
情報システムがリスクの増大以上の効果をもたらすものであれば、リスクの増大を受け入れ、コントロールしていくしかない。

２．大学病院といえば、管理が行き届き統制がとれていると多くの人が思う。しかしその大学病院でも患者情報の漏洩事故のようなことが起こる。
ここでは、その事例を学び検証して、その上でリスク対策を考えてみよう。
ただ残念ながら対応策は決してデジタルではない。ヒューマンウエアによるアナログ的手法によらざるを得ないことを、リスクマネージャーは心得ておくべきである。

３．参考にする事例は、福島の大学病院と札幌の大学病院で起きた、患者さんの電話番号が漏洩した事故である。福島の大学病院では4回に渡り69人、札幌の大学病院では2回で8人の患者情報が漏洩した。2つの事例とも、以下のような経緯である。

1. ・不審者からの電話での問い合わせに、病院職員が患者さんの電話番号を教えてしまった。
2. ・問い合わせを受けた病院職員は、電子カルテを開いて患者さんの電話番号を確認した。
3. ・電話をかけてきた人物は、病院の医師であると名乗ったため、不審者と思わなかった。（なりすましの可能性大）
4. ・使われた医師名と対象患者名は、実在するものだった。

また、対象の患者さんは、大学の卒業生および元学生であったということから、不審者は何らかの名簿を持っていて、その情報を補足することが目的のように推測される。

４．これらの事例では、情報漏洩の要因は複合的である。要約すると次の2つに分けられる。一つ目の原因は、・・・続きをご覧になりたい方は「倶楽部オベリスク」のeアカデミアコースにご入会下さい。