このたび、「電話診療による処方箋発行申込フォーム(※)」よりお申し込みをいただいていた患者様の個人情報が、慶應義塾の関係者が特定の操作を行った場合に閲覧できる状態になっていたことが判明いたしました。
本件の対象は、当該フォーム(※)によりお申し込みをされた患者様です。対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。
対象となられた患者様に多大なご迷惑とご心配をお掛けいたしましたことを深くお詫び申し上げます。経緯および対応については以下のとおりです。
詳細な調査に時間を要し、ご報告が遅れましたことを重ねて深くお詫び申し上げます。
(※)「電話診療による処方箋発行申込フォーム」は、「新型コロナウイルス感染症に係る診療報酬上の臨時的な取り扱い」の特例措置を受けて実施していた電話診療による処方箋発行のための申込フォーム(Googleフォーム)ですが、特例措置の終了に伴い現在は終了しております。
1.概要
病院ウェブサイトのお知らせに掲載していた「電話診療による処方箋発行申込フォーム」(Googleフォーム)について、2022年末に一時申込を休止し、2023年1月5日(木)に申込を再開する際、誤って回答用のURLではなく管理用のURLを公開しておりました。
管理用のURLを開いた場合も通常は回答用のフォームが表示されますが、「慶應義塾共通認証システム(以下、認証システム)」にログインした状態で管理用URLを開くと、回答用フォームではなく管理用フォームが表示され、かつ、管理用フォームの「回答タブ」を選択して表示を切り替えた場合に、個人情報を含む過去の申込内容を閲覧することができる状態となっていました。認証システムのIDは、慶應義塾の教職員のほか学生、一部の卒業生等も所有しています。
2023年4月28日(金)にこの認証システムのIDを所有する患者様からご連絡をいただき、事態が判明いたしました。
誤って管理用のURLを掲載していた期間は、2023年1月5日13時頃から4月28日9時頃までとなります。
2.認証システムにログインした場合に閲覧可能となっていた情報
2020年5月11日から2023年4月28日までに「電話診療による処方箋発行申込フォーム」で申し込みをされた患者様(4,858名)の以下の情報です。
氏名、生年月日、住所、電話番号、メールアドレス、診察券番号、6カ月以内に診察を受けたか、薬が何日分残っているか、前回受診時から保険証が変わっているか、次回予約日、受診予定診療科、予約医師名または予約名、処方の受取を希望する薬局名・店舗名、薬局の住所・電話番号・FAX番号
3.事態判明後の対応
事態が判明した4月28日(金)に本来の回答用URLへの差し替えを行った上で、管理用フォームのアクセス権限を本来の管理者のみに変更し、それ以外の者が管理用URLで管理用フォームを開こうとしても開かないようにしました。併せて、同日より本件に関する原因の調査を開始しました。
また、閲覧されたアクセスの記録の調査を行いましたが、画面上で一定の操作を行った閲覧者においてはアクセス記録を確認することができ、その閲覧者はいずれも他人の情報は取得していないことを確認しています。
これらの状況については、5月2日(火)に「令和2年 改正個人情報保護法」に基づき、本件について国の個人情報保護委員会及び東京都福祉保健局及び大学の所轄官庁である文部科学省に報告いたしました。
当該フォームを利用された対象の皆様には、フォームにご入力いただいたメールアドレス宛てに、8月25日に当院より「個人情報の漏えいに関するお詫びとご報告」というメールをお送りいたしました。
現在のところ今回の管理用URLへのアクセスを原因として、患者様に関する個人情報が不正に使用された事実は確認、報告されておりません。
4.再発防止について
このたびの事態が起こった原因は、Googleフォームの管理権限が本来の管理者のみに限定されず認証システムのID所有者全体についていたことと、申込再開時に誤って管理用URLを公開してしまったことにあります。
事態判明後は、Googleフォームの管理権限を必ず担当者に限定する、また、ウェブサイトを編集、公開する際には必ず複数人で内容を確認するなど、再発防止の対策を講じています。
慶應義塾大学病院では、医療個人情報の保護に関する規程を定めており、定期的な研修を実施するなど、個人情報の適切な管理に努めてまいりましたが、この度の事案により、患者様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。
今後、教職員一同、個人情報の管理と運営に関する意識をより一層高め、再発防止に全力を尽くして参ります。