ある病院でセキュリティを担当する今野氏は,いつ自分の病院で個人情報の漏洩が起きてもおかしくないと,落ち着かない毎日を過ごしている。
医療機関における個人情報とは,患者の診療データにほかならない。一般企業の個人情報以上に,診療データには重要なプライバシーが記載されている。個人情報の中でも,特に手厚く保護されるべきものだ。
今野氏も,診療データは病院内のしかるべき場所で厳重に管理し,院外への持ち出しを原則として禁止すべきだと考えている。罰則も含めた規定を設け,個人情報の取り扱いにかかわる誓約書を医師に求めた。だが,医師たちは猛反発した。今野氏は,誓約書の提出をそれ以上強く求めることができなかった。
医師たちが猛反発する背景には,さまざまな理由がある。例えば医師が論文を執筆するためには,100人分くらいの臨床データ(診療データ)が必要不可欠である。同病院の医師たちも,このデータを自分のノートPCに勝手にコピーして,病院外に持ち出しているのだ。
また,毎週決められた時間は他の病院で勤務する医師も多く,決して自分が所属する病院の自分のデスクにずっと張り付いているわけではない。忙しい診療業務の合間を縫って論文を執筆するためには,どうしても臨床データを手元に置いておきたい。
そのような医師側の気持ちを理解できないこともない。だが,そうした点を考慮しても,今野氏はやはり個人情報保護を最優先すべき課題と考える。「もし,医師がノートPCを紛失したり,盗まれたりしたら…」と考えると,心配で落ち着かない。そのときに病院が受ける被害を想像すると,セキュリティ担当者として大きな不安を感じざるを得ないのだ。
医師たちはもちろん,個人情報保護が大切なことを決して理解していないわけではない。医師向けに個人情報漏洩の賠償責任を補償する保険もあり,多くの医師がこれに加入している。
ただ,今野氏の目にはこの種の保険が「診療データの保護をかえって阻害する要因」に映る。保険は実際に何か起きて,賠償責任が発生したときに金額的な損失を補償するもの。医師が保険に加入していることで,「逆に安心して診療データを持ち出せる」風潮があると今野氏は感じている。
今野氏としては,医師に診療データの持ち出し禁止を強く訴えるために,院長の後押しがぜひとも必要だと考えている。とはいえ,しょせん院長も医師の一人でしかない。セキュリティを担当する今野氏の主張よりも,論文を書くのに多数の臨床データが必要な医師の立場に理解を示してしまう。結局,医師たちをたしなめることもなく,逆に「目をつぶってやってくれ」と今野氏をなだめる側に回ってしまった。
今野氏が見る限り,「診療データはその患者を担当した医師のもの」という意識が医師の中にあるようだ。それゆえ医師は,「オレのデータなのだから,オレの自由にさせろ」という意識になりがちである。これは必ずしも今野氏の病院に限った話ではないだろう。
そこに論文を書くための必然性が加わり,さらに保険があることで,万が一,情報を漏らしてしまっても医師自身は大した痛手を感じずに済む。その結果,「積極的に情報漏洩を防がなくてはならない」というセキュリティ意識が育たない。
情報漏洩が起これば病院はさまざまな被害を受けるだろうが,医師が医師の論理で個人情報の扱い方を押し通そうとする限り,病院は大きなリスクを抱えたままだ。今野氏が抱える不安は,この業界に共通する構造的な問題なのかもしれない。
また,ここでもケース12と同様に,病院内での上下関係がセキュリティ対策の足かせになっている。頼みの綱の院長も,セキュリティに一定の理解は示すものの,決して医師の不利益につながる施策は認めようとしない。
「セキュリティは利便性を損ねる」。これはどうしても避けられない一面だ。無理解で身勝手なユーザーがそれを理由にセキュリティ対策に協力しないなら,ユーザー自身がセキュリティ・ホールになりかねない。しかも,現場によっては,そのセキュリティ・ホールをふさぐ有効な手立てが見つからないこともあり得る。この病院は,その典型例と言えるだろう。
