前回 ,前々回 と,オンラインゲーム業界で起きた個人情報漏えい事件を取り上げてきた。今回は,医療分野に関連するパソコン紛失事件を取り上げてみたい。
医療関係の個人情報を含む業務用PCを紛失したインフォコム
2006年6月1日,ITサービス企業のインフォコムは,全国19病院の放射線部門に関わる患者及び医療関係者の個人情報など約11万件のデータレコードが保存された業務用ノート・パソコン1台を,5月21日に同社社員が紛失していたことを公表した(「個人情報を含んでいるパソコンの紛失について 」参照)。紛失したデータには,インフォコムが他のベンダー/システム・インテグレータから業務委託を受けている分も含まれていた。
例えば,同社に委託していた富士フイルムメディカルでは,14病院分約6万件のデータが含まれていたことから,同じ日に個人情報紛失の事実を公表している(「弊社業務委託先のパソコン紛失について 」参照)。
インフォコムでは,「紛失したパソコンは複雑なログインパスワードを施しており,現時点では個人情報の不正使用等の事実は報告されていない」と発表。その上で,警察に遺失物届を提出してパソコンの行方を追うと同時に,個人情報紛失に関する事実関係や再発防止策を公表し,取引先の関係者に謝罪と説明に回るなどしていた。ところが,インフォコムの6月1日付ニュースリリースには名前が出てこない業務委託元ベンダーと医療機関の間で,別の問題が起きていたのである。
再委託をめぐるNECと京都市の「インフォームドコンセント」問題
6月1日,インフォコムに業務を委託していたNECは「患者様情報が記録されたパソコン紛失についてのお詫び 」を公表。翌6月2日,病院総合情報システムの保守業務をNECに委託していた京都市立病院は「京都市立病院の患者様に係る個人情報のNECによる紛失事案について(おわび) 」を公表した。インフォコムの社員が紛失したパソコンには,京都市立病院の放射線検査システムのデータとして患者1万4285人分および放射線撮影依頼記録データとして患者140人分が含まれていた。この事件で,NECが京都市の承認を得ないままインフォコムと下請け契約を結んでいたことが発覚したのである。医療分野では,患者と医療機関の信頼関係を支える前提として,「インフォームドコンセント」という概念がある。京都市立病院とNECの間には,業務の再委託をめぐるインフォームドコンセントが確立していなかったのだ。
2006年6月7日付京都新聞の報道によると(注1),委託業者が京都市に無断で下請け契約を結ぶことは,市の契約事務規則に違反している。京都市はNEC,インフォコムの両社を,契約違反としては最高となる6ヵ月間の指名停止処分としたという。パソコン紛失による個人情報流出のリスクよりも,市に無断でインフォコムのパソコンに京都市立病院の患者データが保存されていたという事実の方が深刻だったのである。
京都市立病院の場合,「京都市個人情報保護条例 」が適用される。この条例は個人情報保護法に比べて,処罰対象の範囲や罰則規定の内容が厳しくなっている。公務員には守秘義務があるが,加えて医療専門職には,別途,業法で守秘義務が課せられている。その先には患者だけでなく京都市民のチェックが待っている。信頼関係がいったん失われたら,回復するのは容易でない。
ITサービス業界では,複数企業が共同でプロジェクトを進めるケースが多い。こうした業界で働く人間にとって,高度な個人情報保護対策を施してきたはずのプライバシーマーク取得企業を襲った今回の事件は,他人事でないはずだ。再委託を行う側も受ける側も,事前に細心の注意を払わなければ防ぎようがない。
次回は,KDDIで起きた個人情報漏えい事件について考えてみたい。
(注1)2006年6月7日付京都新聞「NEC,無断で下請けさせる 京都市立病院の患者情報紛失」(記事掲載後2週間経過したため,現在ネットでは公開されていない)
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
