〔104〕大学病院の情報流出で見えたワークスタイル改革のニーズ

ITpro

2007.09.03

　前回は，ノキア／松下の携帯電話用リチウムイオン電池リコールを題材に，製品安全分野の「過剰反応」対策について考えた。消費生活用製品安全法関係では，8月27日にライオンがスプレー式殺虫剤約325万本の自主回収を開始している（「「バルサン飛ぶ虫氷殺ジェット」「バルサン這う虫氷殺ジェット」の自主回収に関するお知らせ」参照）。家庭向け日用品は売り切り型ビジネスモデルが主流であり，購入者に接触・告知するだけでも膨大な費用がかかる。しかも，2007年3月の発売後話題になったヒット商品だけに，社会的信用やブランドイメージの失墜による影響は大きい。個人情報管理も含めた統合的なリスク管理体制の整備が求められる。

　さて今回からは，盗難・紛失に起因する個人情報漏えい事件の動向を取り上げてみたい。

大学病院で目立つ医師のノートパソコン紛失

　2007年8月1日，九州大学病院は，同院の医師が患者の個人情報417件分（氏名，年齢，病名等）が入った個人所有パソコンを紛失したことを発表した（「患者さんの情報が入ったパソコンの紛失について」参照）。医師は，学会発表のため，パソコンに患者データを保存していたが，7月28日に他病院での非常勤務の後，九州大学病院へ車で移動した際にパソコンがないことに気付き，警察へ紛失届を提出した。

　九州大学病院では業務上，患者データの院外持ち出しが必要な場合には匿名化（イニシャル表記）するよう指導していたが，417件分については匿名化されていなかったという。このほか，パソコンには医師が以前勤務した2病院の診療情報も保存されていたが，これらについては匿名化されていた。

　8月27日には，東京大学医学部附属病院で，現在大学院に在籍する元研修医が，受持った患者85人分の個人情報が入ったノートパソコンを鞄ごとJR車内で紛失したことが発表された（「患者様の個人情報の紛失について」参照）。医師から病院にパソコン紛失の報告があったのは8月16日で，退院サマリーの電子データ（氏名，ID番号，生年月日，年齢，性別，住所，電話番号，入院日程，病名，入院経過）が含まれていた。パソコンには，他者が保存されているファイルを容易に見ることができないよう，起動時のパスワードが設定されていたという。

　第79回で，大学病院の個人情報流出事件について取り上げたことがある。当時の各病院の発表文を見ると，臨床データの個人情報部分の匿名化など基本的な情報漏えい対策が施された証跡が見当たらないなど，事前対策が不十分な感は否めなかった。

　各大学病院とも個人情報保護対策を強化しているが，九大病院や東大病院のように，医師が院外でパソコンの紛失・盗難に遭い，個人情報が流出するケースは後を絶たない。ただし，以前見られたように，匿名化，パスワードの設定など事前対策が全く講じられない状態のまま個人情報を保存したパソコンが紛失・盗難に遭うようなケースは減ってきている。

非常勤医の存在を考慮していない病院の医療情報システム

　ところで，九大病院，東大病院のケースに共通するのは，紛失したパソコンが個人所有であった点と，問題を起こした医師が複数の医療機関で診療を行っていた点だ。

　大学病院で働く医師の場合，自院以外の医療機関で非常勤医として診療に当たるケースが多い。また，残業や夜勤，急患などで勤務時間が不規則になることも多々ある。その合間に研究を行ったり学会に参加したりしているから，お世辞にも仕事と生活の調和（ワークライフバランス）がとれるような状態とは言い難い。

　さらに病院の医療情報システムでは，非常勤医の存在があまり考慮されていないのが実情だ。個人情報管理ポリシーは施設によってまちまちである。カルテについても，電子化されている病院もあれば，紙のカルテを使い続けている病院もある。

　IT業界では最近，「ワークスタイル改革」という言葉がよく使われるが，知的生産性の向上が求められるのは医療分野も同じである。大学病院の医師にとって，必要なデータを保存して施設間を移動し，その合間に仕事や研究をすることができるノートパソコンは，便利なツールである。その反面，ノートパソコンにはセンシティブな個人情報が集約されており，個人の「自己責任」だけで情報漏えいのリスクを抑えるには限界がある。筆者も，大学院で医療施設との共同研究を行ったことがあるが，時間や場所に左右されないフリーアドレス制オフィスのような仕組みがあればいいのに，と思ったことが幾度もある。

　医療分野の「ワークスタイル改革」の観点から個人情報保護対策を考えれば，ITの利活用シーンがもっと広がるのではなかろうか。日本の医療ITには，未開拓の領域が多く残っている。

　次回も，紛失・盗難による個人情報漏えい事件を取り上げてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/