この度、近畿大学病院において、受付業務の委託先である株式会社エヌジェーシーの社員(当時、以下 元社員A)が、患者様1名の診療情報を故意に外部に流出させたことが発覚しました。
元社員Aは、業務中に友人である患者B氏が当院を受診したことを知り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電子カルテを表示したパソコン画面を動画で撮影し、共通の友人であるC氏にSNSを通じて送信しました。当院では、事態発覚後すみやかに調査チームを立ち上げて調査を行うとともに、この動画がすでに削除されていることを確認しております。
当該患者様及びその関係者の皆様には、ご迷惑、ご心配をお掛けしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、個人情報の取り扱いについてはこれまで以上に厳重に注意し、再発防止に努めてまいります。
1.事案の概要
令和4年(2022年)11月5日、受付業務委託先の元社員Aが、当院を受診した患者B氏の診療情報(氏名、生年月日、診察記録)記載の電子カルテを表示したパソコン画面を私用スマートフォンで動画撮影し、SNSを通じて友人C氏へ送信しました。元社員A、患者B氏、友人C氏はいずれも友人関係にあり、患者B氏が友人C氏から動画の存在を聞き、11月7日に当院に抗議されたことで事案が発覚しました。
その後、当院にてすみやかに調査チームを立ち上げ、調査を行ったところ、元社員Aが動画の撮影と友人C氏への送信を認めました。また、友人C氏が、送られてきた動画を友人D氏に見せていたこともわかりました。さらに、元社員Aが自身の家族1名と友人E氏に、友人C氏が友人F氏・G氏に、それぞれ患者B氏の受診について話をしたことも判明しました。
2.対応
令和4年(2022年)11月15日に、当院より患者B氏の代理人弁護士に対して、漏えいに関するお詫びと調査報告を行いました。
元社員Aと友人C氏が保持していた動画については、11月8日までに削除されたことを確認しています。また、動画を見せられたり、受診の話を聞いたりした方々には、本件を第三者に口外していないことを確認し、今後も情報を拡散しないことを約束していただきました。
株式会社エヌジェーシーに対しては、事案発覚後ただちに再発防止措置の遵守徹底を強く申し入れました。その後検討を行い、令和5年(2023年)3月31日当直勤務をもって業務委託契約を終了することといたしました。なお、元社員Aについては、11月7日付で株式会社エヌジェーシーを自主退職したという報告を受けています。
また、本件は個人情報漏えい案件として、文部科学省と個人情報保護委員会に報告しております。
3.再発防止策
今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります
①当院において、委託業者、派遣業者従業員等の業務に通信機器を必要としない者に対して業務従事中の通信機器の所持を禁止し、12月14日に通知しました。
②すべての委託先に対して、業務遂行にあたり個人情報保護に関する取扱い注意事項を徹底するよう、改めて申し入れました。(11月14日~11月16日)
③当院の全教職員を対象に、個人情報保護規程の遵守について改めて周知し研修を実施しました。(11月28日~12月26日)
④当院の全教職員に本事例を共有しました。今後さらに個人情報の取扱いに関する研修会を予定しています。