piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

委託先従業員による診療情報の流出についてまとめてみた

2023年2月2日、近畿大学病院は委託先事業者従業員により患者1名の診療情報の流出が発生したと公表しました。ここでは関連する情報をまとめます。

診療情報を動画撮影し知人へ送信

  • 不正行為を行ったのは、近畿大学病院より受付業務の委託を受けていたエヌジェーシーの従業員(当時、既に退職しているため以降元従業員と記載)。
  • 元従業員は私物のスマートフォンを使って患者1名の電子カルテシステムの画面を動画で数十秒間撮影し、二人の共通の知人(元従業員と患者も知り合い)に対してSNSを通じてその動画を送信した。
  • 元従業員及び知人は家族や別の知人に対して動画を見せたり、口頭で患者の受診について共有を行っており、最終的に当該患者の診療情報(氏名、生年月日、診療記録)や受診について少なくとも6人へ流出した。
  • 動画送信を受けた知人は患者に対して事実を伝え、動画を見せたところ患者は病院側へ抗議を行ったことから流出の事態が発覚した。
  • 元従業員は発覚した同日に自主退職。近畿大学病院は2023年3月31日の当直勤務をもって委託先のエヌジェーシーとの業務委託の契約を終了する。
  • 元従業員は不正行為を行った動機について、友人であったことから安易に送ってしまったと話している。*1
動画送信で始まった外部流出の状況

今回の事態うけ業務中のスマホ所持禁止

近畿大学病院がとった再発防止策は以下の通り。

再発防止策 通知・実施日
全委託先に対して業務遂行にあたり個人情報保護に関する取扱いについて注意事項を徹底するよう改めての申し入れ 11月14日~11月16日
全教職員に対して個人情報保護規程の遵守について改めて周知し研修実施 11月28日~12月26日
委託先、派遣業者従業員等に対して業務上必要のない通信機器について業務従事中は所持禁止 12月14日
全教職員に対して当該事例を共有。今後さらに個人情報の取扱いに関する研修会を実施予定。 研修会は今後予定

関連タイムライン

日時 出来事
2022年11月5日 患者の診療情報を元従業員が動画撮影し、SNSを通じて知人へ送信。
2022年11月7日 患者が知人から動画について共有を受け、近畿大学病院へ抗議。
近畿大学病院が調査チームを立ち上げ。
同日 元従業員が自主退職。
2023年11月8日まで 近畿大学病院が元従業員、知人が保有していた動画が削除されたことを確認。
2023年11月15日まで 近畿大学病院が患者に対して情報流出の謝罪と調査結果を報告。
近畿大学病院から文科省、個人情報保護委員会に対して報告。
2023年2月2日 近畿大学病院が委託先による情報流出について公表。
2023年3月31日 近畿大学病院から委託先への契約終了予定。

公表情報

更新履歴

  • 2023年2月3日 AM 新規作成