« 今日のぐり:「海鮮居酒屋はなの舞 岡山本町店 」 | トップページ | 滝川市不正受給問題 早急な制度的対応を »

2013年4月 8日 (月)

集積される医療個人情報 取り扱いは慎重に

医療が進歩していくにつれ、より多くのデータをより短時間で扱う必要が出てくるのは当然ですけれども、久しく以前から他業界での進歩にならって「医療にももっとITの導入を」と叫ばれているのは周知の通りですよね。
そんな中で最近では各地で病院間での診療情報共有が試みられていて、もちろんこれはこれで非常に有益な試みではあるのですが、未だそれを扱う者の意識が追いついていないということなのかこういう事故もたびたび報道されています。

個人情報:長崎こども医療福祉センター、432人分保存のUSBを紛失 /佐賀(2013年3月23日毎日新聞)

 長崎県立こども医療福祉センター(諫早市)は22日、障害のある子供たちの発達を促す「集団療育」を受診した432人分の住所や氏名、生年月日、診断名などの個人情報を保存したUSBメモリー1個を紛失したと発表した。01、02、06〜12年度に受診した長崎、佐賀両県に住む3歳児から小学生。今のところ、情報漏えい、被害は確認されていないという。

 センターによると、昨年11月上旬、グループ表を更新しようと、担当者がUSBメモリーを保管しているセンター2階のリハビリテーション科の机の引き出しを開けたところ、ないことに気付いた。センター内で見つからず、紛失から4カ月以上たった今月18日に県情報政策課に報告。21日から保護者に電話で連絡し、謝罪した。USBメモリー使用を原則禁止するなど再発防止に努めるという。

医療情報データベース、参加大学で流出続発(2013年4月5日CBニュース)

 厚生労働省が基盤整備を進めている「医療情報データベース」に参加している10機関のうち、東大や九州大など少なくとも5大学で、整備が始まった2011年度以降、不正アクセスによってメールアドレスなどの個人情報が流出したり、患者情報が含まれたUSBメモリーを紛失したりする事案が起きていたことが、キャリアブレインの調べで分かった。厚労省は5日、医療情報データベースに関する検討会を開き、15年度までに延べ1000万人の情報を集める方針を示したが、参加大学の個人情報流出などが相次いでいることから、情報管理体制の抜本的な見直しを迫られそうだ。

 厚労省は11年度から医薬品の安全情報などのデータベース構築に着手し、安全対策に活用する「医療情報データベース基盤整備事業」に取り組んでいる。データベースには、東大や東北大、九州大、浜松医科大、千葉大など全国の10機関から1000万人分の薬剤情報を集め、従来の企業などからの副作用報告のみでは把握できなかった安全性情報を正確に収集する狙いがある。

 大学病院などの拠点ごとに電子カルテやレセプト、傷病、診療行為情報などの医薬品評価に必要なデータを抽出。患者の同意を得て匿名化した情報をデータベースに集積し、医薬品医療機器総合機構(PMDA)や研究者らが分析や研究を実施し、医薬品のリスクやベネフィットの迅速な評価を行う方針だ。

■不正アクセスで流出、ひったくりで紛失も

 だが、そのデータベースの拠点を設ける大学では、この整備事業が始まった11年度以降、個人情報の紛失や流出が相次いでいる。九州大では12年11月、大学院生が、同大病院の患者138人の個人情報が記録されたUSBメモリーが入ったショルダーバックを、バイクに乗った2人組にひったくられて紛失。USBメモリーには、氏名や生年月日、患者番号、プログラフの内服量、処方医の氏名などの情報が記録されていた。パスワードは設定されておらず、誰でも閲覧可能な状態だったという。

 このほか、11年12月には東北大の職員が、学生名簿などの個人情報を保存したパソコンを海外で盗まれた。千葉大でも、教員が学生の個人情報が含まれているパソコンを学外に持ち出して紛失。浜松医科大では、学生が周産期の助産過程やその家族の氏名3人分などのデータが入ったUSBメモリーを一時紛失。学外で落とした可能性があり、関係者には個別に連絡して謝罪したが、後日見つかったため大事には至らなかったという。

 さらにハッカーとみられる第三者の不正アクセスで、個人情報が流出する事態 も発生した。東大では12年10月に、同大の情報が漏えいしている可能性が高いと の情報提供を受け、該当する4台のウェブサーバーを緊急停止。サーバーを調べ たところ、約2700人分のメールアドレスや約1300人分の氏名などの情報の流出が 確認できたという。同大は「アプリケーションのぜい弱性を突かれたものと考え られる」と不正アクセスがあったことを認め、再発防止の徹底を図るとした。

 5日開催された医療情報データベースの検討会でも、データを研究者らが利活 用する際、希少疾患の患者らの個人情報が特定される事態を懸念する声が相次い だ。厚労省は、氏名や生年月日などのデータを削除するなどの「匿名化」を図る ことで、個人情報は守られるとの立場を取るが、患者データの一部の項目につい て、委員からは「人海戦術で解読すれば、匿名化が崩れる可能性がある」と厚労 省の主張を疑問視する意見も出た。個人情報の取り扱いをめぐり、患者の匿名化 や情報管理の徹底が今後、検討会の重要な課題となりそうだ。【新井哉】

昔からセキュリティの基本は物理的対策よりもまず使用者の教育であるという話があって、銀行などの暗証番号でもくれぐれも生年月日など容易に類推できるものは使わないようにと言われますが、例えばせっかくパスワードを設定していてもそれをPCの横にポストイットで貼り付けていたというのでは何の事やらですよね。
USBメモリーに限らず個人情報を私的PCに入れておいたところ紛失したという事例がしばしばありますけれども、これもそもそも組織としては秘密に属する情報ならば私的な環境に持ち出すことを禁じているという場合の方が多いはずで、それならばUSBメモリー使用禁止などと言って済ませるのでなくUSBポートを塞ぐなど物理的に情報を持ち出せないようにするべきだし、現にきちんとした企業では各種セキュリティ対策を推し進めているはずです。
某製薬会社なども個人情報流出をチェックするセキュリティーツールを導入しその実績を公表していますけれども、こうした厳しい対策を行うことで内部での情報管理意識が高まり情報流出も減ってくるというのですから、医療の世界においてももう少し真剣に対策を講じていくべき時期ではないでしょうか。
もちろん臨床現場においてはデータを扱う者全てがセキュリティーに精通しているわけではないといった事情もありますが、だからこそ余計に何も考えていない人間には勝手にデータを持ち出せないようにしておくということが必要で、現状のような当事者が好き放題何をやってもいい状況ではいずれシステムの運用自体に批判の声も上がりかねません。

そうはいってもせっかく情報が集積できる場があるのだから、それを研究などにも使いたいという事情は理解できますが、そもそも臨床研究に関する倫理指針を考えると、きちんとしたインフォームドコンセントを得て収集されていない個人を特定可能な情報は研究に使ってはならないし、仮に使ったとしても発表できないということになりますよね。
それを回避するためには個人を特定出来ない状態にした情報にまでデータを落とし込んでから使わなければならないということになりますが、逆にそうなると臨床面ではあまり意味のない情報ということになってしまいますから、システム設計の段階で用途によってどのレベルの情報にまでアクセスできるかといったことを設定しておくべきなのかも知れません。
いずれにしてもマイナンバー制度などが実現すれば医療の面に限らず個人情報が一元管理され一気に流出する危険性は増すはずで、医療情報の扱いだけを心配していても仕方がないと言う意見もあるかも知れませんが、借金なら努力して借りないようにはできるかも知れませんが多くの疾患は本人に責任のないところで罹患してしまうものだけに、その取り扱いにはくれぐれも注意がいるだろうと言うことです。
基本的に医療の世界は性善説前提で動いていて、特に内輪では誰も悪いことはしないものという前提でやっている部分が多いですけれども、しばしば問題になる危険な薬品の管理体制などもそうですが多忙な中で利便性を優先して緩い管理を行っているのであれば、同時に何かあった時に余計に面倒な話になるというリスクも引き受けなければならないでしょうね。

|

« 今日のぐり:「海鮮居酒屋はなの舞 岡山本町店 」 | トップページ | 滝川市不正受給問題 早急な制度的対応を »

心と体」カテゴリの記事

コメント

リテラシー欠如のバカは触るな危険w

投稿: aaa | 2013年4月 8日 (月) 09時28分

まあ情報に限らずなにかと管理が甘いところは多いですけどね。
うちの職場なんて以前は患者情報詰め込んだPCで普通にエロサイト巡りしてましたからあきれました。
でもアメリカ暮らしの長かった先生はPCも全部物理ロックしたりでさすがにしっかりしてます。

緊急用医薬品なら使うときには時間もないししかたがないかって思うところもあるんですけど…

投稿: ぽん太 | 2013年4月 8日 (月) 10時24分

医学部は割合に盗難被害にも遭いやすいと聞きますが、高価で高性能なPCも無造作に放置していることが多いということでしょうね。
それでも窃盗だ、ハッカーだとプロの手にかかっての被害なら同情もされるでしょうが、最低限の管理は自分でしなければ自ら加害者になってしまいます。
簡単かつ安価に出来る対策としてUSBのソケットつぶしは非常におすすめですね。

投稿: 管理人nobu | 2013年4月 8日 (月) 12時35分

サイバーノーガードの方針で低コスト&安全な管理をお薦め致します。
日本では弱者は過剰に保護されます。

投稿: 通りすがり | 2013年4月 8日 (月) 13時01分

>日本では弱者は過剰に保護されます。

問題は世間が医者を弱者と認めてくれるかどうか

投稿: カナブン | 2013年4月 8日 (月) 13時16分

>サイバーノーガード・ポリシー
>この管理ポリシーでは、責任を全て利用者と不正アクセスによって情報漏洩をさせた側に求める事で、責任者の責任は問われず「(責任者側は)安全」である。

不覚にもちょっとワロタw

投稿: kenzo-3 | 2013年4月 8日 (月) 14時32分

どれだけセキュリティ対策をしていても、個人情報の一括大量流出のリスクはつきまとうでしょう。
電子カルテを使っているかぎり、そういうハイリスクなものだと患者も医療関係者も認識するべきでしょう。
その点、従来の紙カルテだと一括での情報流出はありえないですからね。
医学部・大学病院(医局)にしても未だにセキュリティ対策は甘い所も多い(そういうところにカネをかけようとしない)ので
部外者でも易々と侵入できるノーガード環境ですから、患者の情報などプロでなくても出入りしている人間を使えば簡単に盗めそうな気がします。

投稿: 逃散前科者 | 2013年4月 9日 (火) 15時29分

逆に考えるんだ!盗まれてもいいやって以下AAry
実際盗まれないようにするってのは不可能ですから盗んだ奴、悪用した奴を死刑にしよう!(提案)

投稿: 10年前にドロッポしました。 | 2013年4月 9日 (火) 16時04分

データを暗号化するってできないんですか?ハッカー相手じゃ意味ない?

投稿: 小市民 | 2013年4月 9日 (火) 17時16分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/519753/57124932

この記事へのトラックバック一覧です: 集積される医療個人情報 取り扱いは慎重に:

« 今日のぐり:「海鮮居酒屋はなの舞 岡山本町店 」 | トップページ | 滝川市不正受給問題 早急な制度的対応を »