大分県立看護科学大学

看護学の考究 心豊かな人材の育成 地域社会への貢献

大学紹介
Home > 大学紹介

医療提供者が起こした個人情報漏えいの事故原因に関する研究

更新日:2018年4月1日 ページ番号:0000474

 

 健康情報科学研究室 品川佳満

はじめに

 全面施行から約10年が経過した2015年9月に個人情報保護法が改正されました.この改正により、個人情報がこれまで以上に利活用される社会になっていますが、それと同時に保護の重要性も増しています.なかでも病院などの医療機関においては、扱う情報の大部分が患者さんの病名や検査結果といった人には知られたくない個人情報であるため、取り扱いには注意が必要です.しかし、医療提供者が「患者情報の保存されたUSBメモリを紛失した」、「目的外に電子カルテにアクセスし、閲覧した内容を周囲に漏らした」といった事故事例が報告されています.このような事故を防止するためには、まず現場ではどのような原因による事故が発生しているのか、その全体像をつかむことが必要です.
 そこで本研究では、日本やアメリカで実際に起きた医療提供者による個人情報の漏えい事故事例を分析し、事故原因の全体像を明らかにすることを目的としました.

方法

1.事故事例の収集

 アメリカの事故事例は、アメリカ合衆国保健福祉省のウェブサイトにリスト化されている2013年1月~2015年12月の3年間に報告された、医療機関や医師などの「医療提供者(Healthcare Provider)」による事故事例を収集しました.
 日本の事故事例は、2014年1月~2016年12月の3年間に公表・報道された医療機関における患者の個人情報取扱い事故事例をインターネット上から収集しました.

2.事故原因のカテゴリ化

 収集した事故事例について、事故の経緯等から、事故の原因を抽出し、事故原因のカテゴリを作成しました.作成したカテゴリについて類似性があるものなどについてはグループ化などを行い、3年分の事故原因にもとづく最終カテゴリを決定しました.

結果

 結果として「盗難」、「置き忘れ」、「紛失」、「廃棄関連」、「誤送付・誤配布・郵送中の事故」、「メール誤送信」、「設定ミス」、「不適切な持出し」、「意識的な開示、目的外使用、過剰な情報提供」、「不適切な開示」、「不正アクセス」の11の事故原因カテゴリに整理できました.表1に作成した事故原因のカテゴリおよびその事故原因の代表な事例を示します.

表1 事故事例から作成した事故原因のカテゴリ

事故事例から作成した事故原因のカテゴリの画像

考察

 本研究により医療職提供者が起こした個人情報の漏えい事故は、11の事故原因に分類できました.本研究では、さらに次の3つの視点にもとづいて事故原因を整理し、図式化すると、より全体像が明確になると考えました.

(1)対象は、財物か情報そのものか

 インターネットなどの通信上の情報やサーバ等に保存されている情報など情報そのものに対して起きた事故なのか、紙やPC・可搬型媒体(USBメモリや外付けハードディスク等)などの形ある財物に対して起きた事故なのか.

(2)引き起こした者は、特定人か不特定人か

 従業員などの組織内部の人物や委託先などの特定の人物が関係した事故なのか、外部の不特定の第三者が引き起こした事故なのか.

(3)意識型かうっかり型か

 自らのミスなどにより発生した事故(うっかり型)なのか、刑法上の故意にあたる場合や民法上の悪意(知っていること)に基づく事故(意識型)の事故なのか.

 以上の3つの視点に基づいて図式化した事故原因の全体像が図1になります.縦軸が(1)の「対象は、財物か情報そのものか」を示し、横軸が(2)の「引き起こした者は、特定人か不特定人か」を示しています.また、図形の形(色)が(3)の「意識型かうっかり型か」を表しています.

図式化した個人情報の取扱いに関する事故原因の全体像の画像

図1 図式化した個人情報の取扱いに関する事故原因の全体像

 この図式化した事故原因のモデルは、自施設のリスク分析や事故防止策を考える上で役立つものになると思われます.例えば、縦軸の対象が≪ICT系≫の原因については、情報へのアクセス認証や制御などの技術的安全対策の強化、≪物(財物)系≫の原因では、入退室管理の実施や機器や装置の保護といった物理的安全対策の強化が必要となります.横軸に示す事故を引き起こした者が≪特定人型≫の事故の場合や、≪うっかり型≫の事故原因については、規定の整備などの組織的安全管理対策の見直し、従業員や委託先に対しての教育・訓練といった人的安全対策の実施が必要となります.つまり、もし事故が発生した場合、図のどの領域に属する原因に起因するものであったかを分析すれば、再発防止策や強化すべきポイントが見えてきます.

※本研究は、川崎医療福祉大学の橋本勇人教授との共同研究の一部を紹介したものであり、以下の2つの論文・発表をまとめたものになています.

  • 品川 佳満、橋本 勇人:アメリカで発生した医療提供者による個人情報に関する事故原因の図式化、川崎医療福祉学会誌、26(2),264-272,2017.
  • 品川 佳満、橋本 勇人:アメリカの事例から作成した医療提供者による個人情報漏えいの事故原因モデルの検証:日本の事故事例への適用、第18回日本医療情報学会看護学術大会、2017.