1.概要
国立研究開発法人量子科学技術研究開発機構(以下、QST)のQST病院において、QST病院等の3,311名の患者さんの個人情報を含むUSBメモリが亡失する事案が発生しました。当該USBメモリに含まれていた情報は以下のとおりです。
① QST病院の患者さん
3,206名(氏名、臨床情報(病名、治療情報等)等が含まれる)
内 生年月日が含まれる関係者:188名
内 居住地域(市又は区まで)が含まれる関係者:509名
② QST病院以外の患者さん
最大105名(氏名、臨床情報(病名、治療情報等)のみ)
現時点で、当該USBメモリにつきましては発見できておりません。また、関係する情報の漏えい等については確認されておりません。
2.経緯(概略)
【令和4年9月30日(金)】
QST病院職員(医師)が病院内の共有電子カルテ端末で3件の死亡報告書を作成し、同端末に接続したUSBメモリ(※)に同死亡報告書を保存した。その後、外来診療のため、当該USBメモリを端末に接続した状態で離席した。同職員が外来診療から戻り、共有電子カルテ端末を確認したところ、USBメモリがなかった。当該USBメモリ及びその保存ファイルには、暗号化等の対策は施されていなかった。
※USBメモリは異なる端末間のデータの移行を目的として利用されている。
【同年10月6日(木)】
同職員は、それまでUSBメモリを捜索したが、見つからなかったことから、情報セキュリティ管理者に情報セキュリティインシデントとして報告した。
【同年10月11日(火)】
USBメモリには3件の死亡報告書以外の情報が含まれることが判明し、更に詳細な調査を継続した。
【同年10月14日(金)】
盗難の可能性を含む亡失事案と判断し、本件について、千葉北警察署に被害届の届出を行った。
【同年10月16日(日)】
詳細な調査により、全データの内容が判明した。内容は以下のとおり。
①QST病院の患者さん
3,206名(氏名、臨床情報(病名、治療情報等)等が含まれる)
内 生年月日が含まれる関係者:188名
内 居住地域(市又は区まで)が含まれる関係者:509名
②QST病院以外の患者さん
最大105名(氏名、臨床情報(病名、治療情報等)のみ)
3.発生の要因
- QST病院の医療情報セキュリティ対策基準に反し、3,311名の個人情報を含むファイルなど、保存の必要のない情報をUSBメモリから削除していなかったこと。
- QST病院の医療情報セキュリティ対策基準に反し、USBメモリ内の情報に暗号化等の措置をしていなかったこと。
- 個人情報が含まれたUSBメモリを端末に接続した状態で離席したこと。
4.本事案への対応、及び再発防止策
該当する患者さん及びご家族の皆様には、順次、事実関係の説明とお詫びの文書を速やかに発送いたします。また、本件についての個別相談窓口を設置し、患者さんからのご相談を随時受け付けます。個別相談窓口については、下記に記載のとおりです。
今後は、個人情報の適切な管理・取り扱い等の情報セキュリティ教育・指導の徹底、及びUSBメモリの使用・管理に関する基準見直しを図ります。さらに、施錠管理の強化や監視カメラの増設等の対策を通じて、再発防止に努めてまいります。
多くの患者さんの大切な情報を扱う病院において、こうした事案を発生させたことについて、大変重く受け止めております。ご心配、ご迷惑をお掛けしている患者さん及びご家族の皆様に対しまして、深くお詫び申し上げます。