CASE8(院内での盗難)
CASE8(院内での盗難)
Embedded Files
【概要】院内の事務室の机に置いていたノートパソコンが盗まれた.このノートパソコンには,数千人分の患者情報(患者番号,カナ氏名,病棟名など)が保存されており,一部には現在入院中の患者データも含まれていた.ノートパソコンには,机にワイヤで固定するなどの盗難防止措置は取られていなかった.病院は,警察に盗難の被害届を提出した.
学びのポイント(守るべきものはデータだけではない)
学びのポイント(守るべきものはデータだけではない)
病院内で情報端末が盗難に遭うケースは,それほど多くありません(盗難事例の多くは,CASE3のように無断で持ち出した後に,車上荒らしなどに遭うケースです).しかし,診療録や院内業務の電子化が進む中,ノートPCやタブレット端末といった持ち運びが容易な機器が増えており,物理的なセキュリティ対策の重要性が高まっています.特に,端末を無防備に机の上に置いたままでは,盗難のリスクが上がります.この事例を通して,情報セキュリティは単なる「データ保護」にとどまらず,端末そのものの管理を含めた総合的な対策が必要であることを学んでください.
問題点と事故防止のためのポイント
問題点と事故防止のためのポイント
読む前に,まずは自分で本事例の問題点と,どうしたら防げたか考えてみてください.
【問題点】
●物理的なセキュリティ対策の不備
ノートパソコンが机の上に無防備に置かれていたため,簡単に持ち出されてしまう危険がありました.その場所でしか使用しない端末は,セキュリティワイヤーで固定するなどの盗難防止措置をとることで,物理的な持ち出しを防ぐことができます.また,持ち運びが発生する端末(タブレットなど)の場合は,鍵のかかるキャビネットに保管することが必要です.
さらに,端末の保護だけでなく,部屋の入退室管理(カードキーや生体認証など)を行うことも物理的セキュリティ対策の一つとなります.入退室管理が不十分だと,無関係な人が容易に部屋に入ることができるため,盗難のリスクが高まります.
●データ保護対策の不十分さ
盗まれたノートパソコンには,患者の個人情報が保存されていました.盗難の目的がデータの取得であったかは不明ですが,パスワードなどによるロックがなければ,データが外部に流出してしまう危険性があります.このような事態を防ぐためには,端末内にデータを残さない運用(例えば,サーバ上のデータへアクセスする)にするなどの対策が必要です.
端末にデータを保存する場合は,パスワードや生体認証などのアクセス制限をかけておくことはもちろんのこと,リモートから端末をロックしたり,データを削除できる機能(リモートスワイプ)を導入しておくことが,盗難による情報漏えいを防ぐことに繋がります.
【事故防止のためのポイント】
●セキュリティワイヤーなどの盗難防止措置をとる
●入退室管理を行う
●端末にデータを残さない
●リモートから端末をロックしたり削除できる機能を導入する
さらに学ぶ(医療機関で守るべき情報資産)
さらに学ぶ(医療機関で守るべき情報資産)
さらに学びを深めてみましょう.
今回の事例から学んだように,守るべきものは患者の診療情報などのデータだけではありません.動画で学ぶ(#0 情報セキュリティ)で説明していますが,情報セキュリティとは「大切な情報資産を守る」ことです.ここでは,医療機関で守るべき代表的な情報資産を整理しておきます.
●電子化された診療情報(患者の個人情報),職員の個人情報
説明するまでもなく,電子カルテ内の診療情報は,個人情報およびプライバシー保護の観点で最も重要な情報資産となります.また,患者だけでなく,職員の情報も守るべき情報資産です.
●記憶媒体
USBメモリ,CD-ROM,DVD-ROM,SDカード(デジタルカメラ)など,電子化された情報を保存する媒体も保護が必要です.
●ハードウェア
サーバ,パソコン,タブレット,医療機器など,診療情報を扱うハードウェアも重要な情報資産に含まれます.
●ソフトウェア
電子カルテシステムや業務システムなど,情報を処理するためのソフトウェアも保護すべき対象です.
●ネットワーク設備
ルーターやネットワークスイッチ,WiFiなどのネットワーク機器は,電子化された情報をやり取りするために必要不可欠なインフラとなりますので,保護すべき対象となります.
【参考文献】
一般社団法人保健医療福祉情報システム工業会(JAHIS)編:医療情報システム入門 2023,社会保険研究所,2023
更新日:2025.1.17
Page updated
Report abuse