B病院の契約職員として事務を担当している内田氏(仮名)は,セキュリティ上の問題が起きかねない職場の状況に,漠然とした不安を感じている。この病院が運用する患者情報管理システムには,極めて重大な欠陥があるからだ。

 実は,このシステムにはログインが必要ない。内田氏の職場に設置された専用端末を操作すれば,誰でも患者情報を閲覧できる。患者本人やその家族,保険会社からの問い合わせに,どの職員でも回答できるようにするためだ。

 欠陥はこれだけではない。システムから患者情報を印刷することもできる。USBポートもCD-Rドライブも使えるので,電子メディアで持ち出すことも可能だ。端末を誰が操作していたのかも特定できない。安全対策と呼べるのは,外部ネットワークと接続していないので,外から不正なアクセスを受ける心配がないことくらいだという。

 職員が業務で使うために印刷した患者情報も,鍵のかかっていない棚にファイリングしてある。事務用紙を廃棄するボックスには,患者情報が記載された書類がそのまま捨ててある。また,患者情報管理システムの専用端末がある部屋を含め,すべての部屋に入退室を管理する仕組みがない。そのため,「事務室に誰もいなければ,外部の人でも,容易に患者情報を持ち出せてしまう」(内田氏)。

 この病院にシステム管理者はいるが,「人数が少なく,事実上機能していない」と内田氏は嘆く。例えば今年4月に,システム管理者が中心となって個人情報管理ポリシーを作成した。個人情報保護法の完全施行に合わせた措置だ。しかし,内田氏らの職場の現状が示す通り,ポリシーに基づく実践が遅々として進んでいない。

 内田氏は,患者情報の漏洩など,いつかセキュリティ事件が起きるのではないかと心配している。「情報が漏洩すれば,最初に疑われるのは,正職員でなく,私のような契約職員。今のシステムでは,自分の潔白を証明する方法もない。結果的に契約が打ち切られるのではないかと不安になる」と訴える。

 病院が取り扱う患者情報には,個人名や住所などに加え,本人の疾病や治療にかかった金額など,非常に機密性の高い情報が含まれる。普通,これだけ重要な情報が漏洩すれば,病院に対する不信を招き,患者離れを引き起こしかねないはずだ。

 しかし,患者情報管理システムの運用方法を見る限り,病院やシステム管理者が情報漏洩の悪影響を十分に考えているとは思えない。

 実は内田氏が勤める病院は,その県で最大級の規模を誇る。医者や看護師,職員は,「自分が勤務する病院は県下有数の大病院である」という意識が強いという。それだけに「何があっても患者が離れることはないと考えている人が多い」と内田氏は見る。これが,セキュリティ対策に十分なリソースを投入しない原因の一つと考えられる。