病歴情報をネットに「放置」…メール共有範囲を誤設定、聖マリ医大病院など複数施設
コメント
注目のコメント
情報漏えい事案の大半が、外部からのサイバー攻撃で発生していますが、いわゆるヒューマンエラーが原因になっているケースが多いことは、様々なレポートで報じられています。
・IBM https://jp.newsroom.ibm.com/2020-08-25-ibm-security-concern-investigation-report-release
・Verizon https://enterprise.verizon.com/ja-jp/resources/reports/dbir/
今回のケースのように、クラウドサービスのユーザによるアクセス制限の設定ミスはその典型例と言えそうです。在宅勤務の拡大など、今後は、クラウド利用が加速すると思いますが、利用開始時はもちろん、利用途中においても、情報の公開範囲の設定が適切であるか、常時確認しながらクラウドサービスを活用することが大切です。
また、クラウドサービス提供者にも、その利用インターフェースを改善し、ユーザがヒューマンエラーを起こしにくくする努力を求めたいですね。これまでも、ストーブなどの家電製品や自動車などでは、利用者の操作ミスが事故につながらないための工夫をメーカーが積み上げてきた歴史があり、そのおかげで、安心して利用できる環境が整ってきました。利用者の幅が広がるクラウドやWeb会議システムでも、同様の取組みが提供者に期待されます。
Web会議システムについては、遠隔講義を取り入れている大学のホームぺージに、使い方の注意が詳細に出ています。また、総務省の「テレワークにおけるセキュリティ確保」のガイドラインの付録には、Web会議システムごとの丁寧な設定ガイドがでています。
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
このような情報共有も大事だと思います。本質的には医療関係者がストレスなくセキュアに使える情報プラットフォームの整備が必要なんだと思います。それはGoogleのクラウドストレージとかではなく、きちんと診療情報と連携した病院情報システムであるべき。リテラシーが...という議論は間違いではないですが、なぜそういった(設定次第でこういうことが起こってしまう)リスキーなサービスをユーザーが使ってしまうのかに焦点を当てたいですね。
「救命救急センターの看護師7人が業務連絡のため自主的に使用していたグーグルグループのメールを閲覧可能としていた。」
「自主的に」使用していたとのこと。単なる設定ミスではあるが高くつく。勝手に院外に個人情報を持ち出していたことになるから該当者らは簡単な処分では済まなそう。
それよりも業務外でさえ情報をやり取りしなくてはならない状況こそ真の課題か。
