前回は,国際連携が求められる子どもの「安全・安心」の観点から個人情報保護対策について取り上げた。今回は,海外の健康医療分野の個人情報漏えい事件を題材に考察してみたい。

ブリトニーのカルテ情報流出で職員13人を解雇

 2008年3月15日付のロサンゼルスタイムズ紙は,歌手のブリトニー・スピアーズの診療記録を盗み見たとして,カリフォルニア大学ロサンゼルス校(UCLA)医療センターが,少なくとも職員13人を解雇し,他の少なくとも6人を停職処分としていることを報じた(「UCLA workers snooped in Spears' medical records」参照)。関係者によると,さらに医師6人が電子記録をのぞき見たとして懲戒処分の対象になっているという。また同紙の記事は,UCLAで,2005年9月にスピアーズが長男を出産した直後にも,記録を盗み見したとして,複数の職員が処分されていたことも報じている。

 米国には,健康医療分野を対象としたプライバシー・個人情報保護法制として,「Health Insurance Portability and Accountability Act(HIPAA: 医療保険の相互運用性と説明責任に関する法律)」がある。HIPAAでは,個人を特定できる医療情報を意図的に不正利用した場合には25万ドルの罰金や最大10年の禁固刑が定められている。著名人のプライバシー侵害となれば,さらに巨額の損害賠償請求訴訟も想定される。

 その後のロサンゼルスタイムズ紙の記事によると,ロサンゼルスの連邦大陪審が,4月29日までに,複数の著名人の診療記録などをマスコミに売り渡した罪で,UCLA医療センターの元職員を起訴している(「Celebrity-snooping ex-UCLA Medical Center staffer is indicted」参照)。

 UCLA医療センターといえば,ジョンホプキンス病院,メーヨークリニックとともに,U.S. News & World Report誌の2007年全米病院ランキングのトップ3に選ばれた病院であり,西海岸では18年連続第1位に選出されている(「UCLA Medical Center Rated One of America's Top Three Hospitals, Best in West for 18th Consecutive Year by U.S. News & World Report」参照)。同センターは,電子カルテ,アイデンティティ/アクセス管理システムなど,世界でも最先端の医療情報システムを装備しており,日本からも,多くの医療関係者が視察に訪れているところだ。

 一連の事件の詳細についてはロサンゼルスタイムズ紙のWebサイトに特集記事が連載されている。その扱いを見ただけでも,社会的信用の失墜など病院側のダメージの大きさが分かるだろう。

ICTの健康医療分野への横展開が求められる

 日本では,第78回で取り上げたように,東京ビューティーセンター(TBC)顧客情報流出事件をめぐって1人当たり3万5000円の賠償命令が出されたことがある。また,第118回で取り上げたように,JAL労働組合(JALFIO)への不適切な情報提供をめぐって,客室乗務員らと日本航空キャビンクルーユニオンが,JALFIOと日本航空などを相手取って,1人当たり慰謝料22万円などの損害賠償請求訴訟を提起し,現在も係争中である。さらに,2004年にジャパネットたかたで発覚した顧客情報約51万人分の流出事件をめぐって,今年の5月15日に長崎地方裁判所佐世保支部が出した判決では,元社員に対し1億1000万円の損害賠償金支払いを命じている。

 このような個人情報をめぐる民事訴訟の傾向から見ていくと,センシティブ情報そのものを日常的に扱う健康医療分野は,最もリスクの高い産業の1つであると言える。その一方で,患者主体,予防主体の医療へのシフトが進展し,情報の「離れ小島」だった医療機関の情報システムでも,外部機関や地域住民との連携が不可避になっている。さらに,医療費削減,人手不足など,健康医療分野の事業者を取り巻く環境はますます厳しくなっている。

 とはいえ,UCLA医療センターの事件を見れば分かるように,HIPAAのような重罰規定を課したり,最高水準の技術的対策を講じたからといって,個人情報漏えい事件を完全に抑止することは不可能だ。金融,通信,製造,流通,サービスなど,健康医療以外の分野の経験・ノウハウを積極的に取り入れていくことを真剣に考える必要があるのではなかろうか。健康医療分野は,他業種の人材を支える社会的インフラでもあり,業種の枠を越えたICT(情報通信技術)の横展開が求められる。

 次回は,個人情報保護の観点から「Google Health」を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/