医療機関における個人情報保護~改正個人情報保護法の全面施行を見据えて~(4・完)
2017.10.05
カテゴリ:
制度・政策
タグ:
個人情報, 2017年改正

7.今後の対策について

  改正法の全面施行とガイダンスが施行された今、医療機関における個人情報保護の在り方は今後ますます重要な課題になっています。では、どのような対策を講じて安全管理に努めていくべきでしょうか。NPO法人 日本ネットワークセキュリティ協会の調査によると、情報漏えい事故の原因は紛失置き忘れや誤操作、管理ミス等の人為的ミスが全体の約75%を占める結果となっています。

図3

 

 

図1:NPO法人 日本ネットワークセキュリティ協会 2015年 情報セキュリティインシデントに関する調査報告書 【速報版】より

 

   前述の事故事例からもわかるとおり、単純な人為的ミスが結果として大きな社会的問題へと繋がります。人為的ミスを防止する手段としては、ミスを発生させない、かつミスが発生しても被害を最小限に食い止めるような業務プロセスの見直しが必要であると考えます。
  そのためには、現状の業務プロセスの可視化・分析を行ったうえで、人為的ミスを防止するための取り組みが必要となります。その手法として、今までに発生した個人情報に関するインシデント事例をもとに予想されるエラーを列挙し、大きな事故につながりうるエラーに対して対策を講じ、未然に事故を防止する事が有用であると考えます。このような業務プロセスの見直しや改善については、QC(品質管理)の考え方を導入することも効果的であると考えられます。近年、医療機関におけるQC活動は非常に盛んであり、医療の質向上や患者満足度の向上に焦点を当てて様々な取り組みが多数の医療機関で実施されていますが、情報漏えい事故を起こさないための業務プロセスの構築においても、根本原因の追究や有効的な対策の立案、対策の実施結果の検証といったQCの考え方や手法は非常に効果的です。

 また、経済産業省のホームページhttp://www.meti.go.jp/policy/it_policy/privacy/061215kozinzyouhou.html
などに掲載されている個人情報保護に対する取り組み事例を参考とすることも効果的です。

  一方で、業務プロセスの見直しや改善を行い個人情報の取り扱いに関するルールを厳格化するだけでは全ての情報漏洩事故を防ぐことはできません。ルールに則った業務運用を行うことの必要性や重要性を全従事者が強く認識する必要があります。

  モラルの欠如により意図的にルールを違反した行為を行うことはもちろんのこと、個人情報保護義務の内容や重大さを理解できていないがゆえにルールを軽視してしまうケースも考えられます。このような事態を防ぐためには、全職員に対して個人情報保護に対する義務の具体的内容と義務に違反した場合の社会的責任や信用失墜の重大さを継続的に教育する事が不可欠であると考えられます。ひとりひとりが極めて機微な個人情報を取り扱っているという認識のもとで、業務に従事するための意識付けとルール作りを組織として実践していくことが、高度情報化社会における医療機関に対して求められていると言えるのではないでしょうか。

【参考文献】
・樋口範雄 土屋裕子編『生命倫理と法』弘文堂 平成17年12月30日 
・日本医師会『医師の職業倫理指針』社団法人日本医師会 平成16年4月1日発行
・日経デジタルヘルス
 http://techon.nikkeibp.co.jp/atcl/event/15/111500088/112300005/?ST=health&P=1
・医療介護経営ONLINE
 https://proas.co.jp/blog/2016/09/28/iryo20160928/
・メディファクスウェブ
 http://mf.jiho.jp/servlet/mf/gyousei/article/1226587979283.html
・Security NEXT
 http://www.security-next.com/
・個人情報保護委員会
 https://www.ppc.go.jp/
・NPO法人 日本ネットワークセキュリティ協会 2015年 情報セキュリティインシデントに関す 
 る調査報告書 【速報版】
 http://www.jnsa.org/result/incident/

【編集後記】
 今回は医療機関における個人情報保護について特集しました。ICTが進歩し社会インフラとして無くてはならない存在となった昨今、個人情報保護や情報漏洩対策と言えば、サイバー攻撃やコンピュータウイルスといったキーワードを思い浮かべる方も多いかと思います。しかしながら、過去発生した情報漏えい事故の大多数はうっかりミスやモラルの欠如といった人為的ミスであることは本文中でも記載させていただいたとおりです。情報漏えい事故を起こさないような業務ルール作りを行うとともに、ルールそのものとルールの持つ意味・必要性を周知し、ルールを守ることに対する「動機付け」を行うことで初めてルールの効果が発揮できると言えるのではないでしょうか。
 弊社も多数の医療機関において、様々な業務に従事をさせていただいております。業務上、機微な個人情報を取り扱う場面も非常に多く、うっかりミスや軽率な判断が大きな事態を招くことを常に意識して業務に取り組むことが求められる立場です。弊社は「プライバシーマーク使用許諾事業者」として個人情報の適切な保護に組織として取り組んでおりますが、今回の改正法の全面施行とガイダンスの適用を踏まえ、改めて全従事者に対する「動機付け」を実施する必要性を改めて強く感じています。
 今回の特集が、皆さまの医療機関における改正法やガイダンスの内容の精査や個人情報保護体制の見直しのきっかけとなれば幸いです。