医療機関SNS情報漏えい問題から考えるサイバーセキュリティ

名古屋大学医学部附属病院で発生した学生による患者情報漏えい事件は、医療機関におけるSNS運用のリスクを浮き彫りにしました。患者の個人情報が含まれる画像がSNSに投稿され、情報漏えいの問題が生じたことは重大です。この事件を受け、病院は個人情報保護と倫理教育の強化を表明しましたが、これに加え、医療機関全体でのサイバーセキュリティ対策の強化が求められます。

名古屋大学医学部附属病院の学生が、令和2年3月に患者2名の電子カルテ画面を含む写真をSNSに投稿し、個人情報（氏名、入院診療科名、日時）が漏えいしました。また、個人特定されない手術画像も投稿されていました。これらの投稿は既に削除され、不正使用は確認されていません。病院は当該患者とその家族に謝罪し、学生への個人情報保護と倫理教育を強化し、再発防止に努めることを表明しました

^{同社公式HP引用：https://www.med.nagoya-u.ac.jp/hospital/news/news/2024/06/14120000.html}

サイバーセキュリティ対策として、以下のポイントが重要です。

1. 従業員教育の徹底： 個人情報保護の重要性を全スタッフに教育し、SNS使用に関するガイドラインを明確にすることが必要です。
2. アクセス制御の強化： 電子カルテシステムへのアクセスを厳格に管理し、必要最低限の権限のみを付与することが推奨されます。
3. 監視システムの導入： ネットワークトラフィックやシステムログを常時監視し、不正アクセスの早期発見と対応を図ることが重要です。
4. 定期的なセキュリティ評価： システムの脆弱性を定期的に評価し、必要に応じて対策を講じることで、未然にリスクを防ぐことができます。

最近では、医療機関がサイバー攻撃の標的になることが増えています。医療機関は患者の個人情報や医療データを大量に扱っており、それがサイバー犯罪者にとって非常に価値のある情報となっています。ランサムウェア攻撃やデータ漏えい事件が増加している中で、内部のリテラシーをしっかりと向上させることが求められます。医療機関は、サイバー攻撃から患者の情報を守るために、より高度なセキュリティ対策を導入し、定期的に見直す必要があります。

市立病院でも類似の事件が発生しました。当院職員が担当患者1名のカルテ写真をSNSに投稿し、個人情報を漏えいさせた事案です。投稿時に個人情報を消去したつもりだったものの、患者の氏名とIDが残っていたことが確認されました。匿名の指摘により、約1カ月後に投稿は削除されましたが、この間、情報が閲覧可能な状態でした。

^{同社公式HP引用：https://hospital.city.sendai.jp/customer/kisyahappyou.html}

この事案に対し、市立病院は以下の再発防止策を講じています。

1. 全職員に対する個人情報管理の周知徹底。
2. 個人情報保護研修に今回の事案を取り入れ、適切な取り扱いに関する認識を強化。

これらの対策を通じて、医療機関は患者情報を守るための体制を強化し、再発防止に努めることが求められます。

医療機関における個人情報漏えいは、SNS運用のリスクとサイバーセキュリティの重要性を浮き彫りにしています。患者情報を保護するためには、従業員教育、アクセス制御、監視システム、定期的なセキュリティ評価が不可欠です。ランサムウェア攻撃やデータ漏えいが増加する中で、医療機関は内部リテラシーを向上させ、最新の対策を取り入れることで、患者情報を守る体制を強化することが求められます。