徳島大学病院(徳島市)の産婦人科の男性医師が今月初めにギリシャ・アテネに出張した際、患者3千人以上の病歴などの個人情報が入った、私用のノートパソコンをひったくられる被害に遭ったことが19日、分かった。徳島大によると、個人情報の流出や第三者による不正利用は現時点で確認されていない。徳島大は被害者を特定し、18日付でおわび文を発送した。
徳島大は、教員や医師が私用のパソコンに個人情報を含んだデータを保存し、持ち出すのを禁じている

出張なので、私用パソコンの持参はよくあることです。ただ、患者データがローカルドライブに入っていたのが痛手でした。

ひったくり被害に合うとは、この先生もまさか思わなかったでしょう。電車や飲み会会場で忘れることに比べれば、仕方のない「事故」と言えると思います。

それにしても、紛失後の初動がとても良いですね。ただちに対象の患者さんを特定してお詫び文を発送しています。こういった事件は隠蔽されやすいものですが、すぐに大学側が謝罪に動いたのは、なかなか出来ることではありません。

パソコンに保存されたファイルは、16文字のパスワードを入力しなければ閲覧できない仕組み。外部から不正アクセスがあった際に、パソコン内のデータが全て消去される措置を施している。

ちゃんと不正アクセスに対してのデータ消去の設定が施されていたんですね。これならおそらく窃盗犯も患者情報に触れることはできなかったでしょう。

患者情報の入ったPCや可搬媒体の紛失は、よくニュースやネット記事で目にしますが、この事例に関しては、じゅうぶん情状の余地があると思います。この先生も、仕事でギリシャに行かれているわけですし、ましてや窃盗なんて、自分には全く落ち度のないところでPCがなくなってしまうとは・・・。
それでも、患者さんの情報を守る措置がされていたことは、不幸中の幸い。

システム担当者の啓蒙活動

やはり、こういった患者情報の持ち出しは、医療機関の情報システム担当が厳重に管理するべきだと思います。
患者情報を取り扱う職員には、セキュリティ意識向上への啓蒙活動や、パスワードのかかったUSBの貸し出しなど、やるべきことは多くあります。

今回のケースはおそらく、パソコンのローカルドライブに患者情報があったのだと思われます。
そのような場合、パスワードを突破されてしまえば、すぐに患者情報にアクセスすることができてしまう。そうならないよう、パスワードを複数回間違えたら、強制的にデータを消去する仕組みが必要と考えます。

強制的にデータを消去する策

こちらの記事では、ATAパスワードという方法が説明されています。
www.pro.logitec.co.jp

記事の最後には・・・

ATAパスワードロックをかけておけば、パソコンやHDD/SSDの盗難・紛失に遭っても、他人にデータを見られてしまう心配はありません。ただしデータは暗号化されずに記録されているため、パスワードを知られてしまえば容易に見ることができてしまいます。また、パスワードを忘れてしまうとデータを失うばかりか、そのHDD/SSD自体使えなくなってしまうので注意が必要です。

と注意書きが書かれています。

患者さんの情報が第三者の目に触れてしまうくらいなら、HDDやSSDが二度と使えなくなってしまったほうが良いですね。

そのくらい、患者個人情報の漏洩は、医療機関にとっては大きな信用失墜になるからです。