前々回前回と,医療機関におけるパソコンの紛失・盗難に起因する個人情報紛失事故を題材に取り上げたが,その後も類似したケースが発生している。2007年9月12日には徳島大学病院が,患者の個人データ約23万件分(氏名,患者番号,生年月日,診断名など)を含むパソコンが盗難に遭ったことを発表した(「パソコン等の盗難事件について」参照)。病院の発表文や報道記事を読むと,前回取り上げた国立がんセンター中央病院のケースとよく似ている。

 今回は,繰り返し起きる類似した個人情報漏えいを防止するための対策として,「ヒヤリハット」事例活動について考えてみたい。

「ヒヤリハット」事例活動の目的はリスクの「見える化」

 産業安全の分野では,「1の重大災害の下には,29の軽症事故があり,その下には300の無傷事故がある」という「ハインリッヒの法則」がある。そこで,類似した要因を持つ災害まで至らなかった事例を収集して災害防止活動に役立てようという手法が,「ヒヤリハット」事例活動だ。

 例えば,「どこで」「どんな時」「どんなこと」「原因」「対策」のような項目で収集した事例を整理することによって,災害のリスクを「見える化」する能力を育成し,安全性を向上させることを目的とする。日本では建設業,製造業など比較的災害発生率の高い現場で古くから導入されていたが,最近は医療安全の分野でも応用されている。

 「ヒヤリハット」には,この状態だとこのようなヒヤリが起きそうで危ないという「想定ヒヤリ」と,実際に本人が体験した「体験ヒヤリ」がある。この手法のポイントは,たとえ失敗談であっても「ヒヤリハット」として報告すること自体を評価することだ。たとえ本人のミスによる「体験ヒヤリ」だとしても,それによって未知の危険を「見える化」できたり,新しいルール作りに役立つのであれば,管理監督者は評価すべきだというのが基本的考え方である。

 その他,「ヒヤリハット」事例活動における基本的な考え方として,以下のような点が挙げられる。

  • 「体験ヒヤリ」と「想定ヒヤリ」をそれぞれの比率で管理すべきではない
  • 対策内容(人的・物的)に偏りがあってはならない
  • 対策のフォローには特に注力する
  • 他部門への横展開を重視する

 このうち,事前予防の観点から特に重要なのが「横展開」だ。他部門が収集した「ヒヤリハット」事例を応用展開するためには,組織全体で事例情報を共有する仕組みが必要であり,ITの利活用が欠かせない。

声高に叫ぶだけの対策はマンネリ化・形骸化していく

 「ヒヤリハット」事例活動は,個人情報管理の分野に横展開することが可能である。ここで,前述の国立がんセンター中央病院と徳島大学病院で起きたパソコン盗難とそれに伴う情報漏えいのケースを,「ヒヤリハット」の観点から整理してみよう。

  • 「どこで」:国立がんセンター中央病院では院内の病理検査室,徳島大学病院では医学部臨床研究棟及び院内の中央診療棟が事故の発生場所になっている
  • 「どんな時」:両院とも,職員が部屋にいない深夜から未明にかけての時間帯に起きている
  • 「どんなこと」:両院とも,個人情報が保存されたパソコンごと盗難に遭っている
  • 「原因」:具体的な記述はないが,誰かが部屋に侵入してパソコンごと外部へ持ち出したことは想像できる
  • 「対策」:両院ともパスワードなどの情報セキュリティ対策をパソコンに講じており,第三者が簡単に中身を閲覧できないようにしていたが,入退室管理などの物理的対策に何らかの不備があったことは否定できず,防犯体制の強化を打ち出している

 このように見れば,個人情報保護対策の専門家でなくとも,再発防止策として何を心がければいいか理解できるし,ITによって予防できること/できないことの線引きも可能である。

 パソコン盗難による個人情報流出のリスクはどの職場にも存在するはずだが,個人情報管理者が施錠の徹底などごく当たり前のルールを声高に叫んでも,徐々にマンネリ化,形骸化してくる。といって,外部への情報流出が発覚してから慌てても手遅れだ。こういう場面に役立つのが,「ヒヤリハット」事例活動である。身近なところに「体験ヒヤリ」がなくても,報道記事やインターネットなどの情報を基に「想定ヒヤリ」の事例データベースを構築することは可能である。

 次回は,金融業界の個人情報紛失事件について,「ヒヤリハット」事例を使って整理してみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/