旧高知市立市民病院からWinny経由で過去最大規模26万人の患者情報漏洩 82
ストーリー by mhatta
結局事後対応次第だよね 部門より
結局事後対応次第だよね 部門より
Anonymous Coward曰く、
10月31日の高知新聞の記事によると、高知市立市民病院の患者の個人情報26万人分が流出した。高知医療センター(2005年3月に県立中央病院と市民病院が統合して設立)の発表によれば、流出したのは、「患者マスター」「市民病院職員名簿」「ネームプレート」というファイル。患者マスターは、旧市民病院に入院、通院した患者全員分で、住所、氏名、生年月日、性別、患者IDで構成され、病歴や治療情報は含まれていないという。
また、11月2日の高知新聞の続報によると、流出の原因は、1997年から旧市民病院に派遣されていた「県外に親会社がある高知市内のシステム開発会社」の技術者が、統合前後の2005年2月~3月ごろにこれらのファイルを私物コンピュータにコピーして自宅に持ち帰り、Winny経由で流出させたためという。この技術者は「地域別患者数などの統計情報の作成を担当」していたとのこと。高知医療センターの言い分では、「同センター開院前に」結んだシステム開発会社との業務委託契約において無許可持ち出しを禁じており、契約違反であるという。記事によるとセンターは同社に対し「厳正に対処する」考えとのこと。
さらに、11月3日の高知新聞の続報によると、高知医療センターは、被害者へ事実の通知をするつもりがないそうで、「問い合わせがあれば個別に対応するが、26万人を超え、膨大すぎて全員には対処できない。マスコミを通じ周知したい」としているという。これに対し高知新聞は、3年前のローソンパス会員カード顧客情報56万件分流出事件の事例を挙げ、ローソンはすべてにわび状を郵送し、500円の商品券を送った事例を紹介、同センターの対応に疑問を投げかけている。(つづく)
ちなみに高知医療センターのWebサイトを見ると、投稿時点で「☆☆個人情報の流出について☆☆」というリンクが目立たない形で掲載されているが、その内容はたったこれだけで、問い合わせ先電話番号も書かれていない。「全く流出しておりません」というが、何らかの病気にかかって受診したという事実は流出しているのであり、病院側の情報管理に対する認識の低さが滲み出ている。個人情報の流出について
このたび、旧高知市民病院の「患者さんの基本情報(住所・氏名・生年月日等)」および「職員名簿」等の個人情報がインターネット上に流出していたことが判明いたしました。
なお、病名等の診療内容については、全く流出しておりません。
また、これまでの調査では、流出した情報は高知医療センターからではないことが確認されています。
皆様方に多大なご迷惑、ご心配をおかけしていることに対しまして、心からお詫び申し上げますとともに、情報流出の原因や経路などについて全力を挙げて内容解明に取り組み、個人情報の保護に努めてまいります。
一人500円と言えど (スコア:3, 参考になる)
地方の公立病院にとって、かなり大きい金額です。
その請負業者に請求するにしても、やばくすると単年度赤字転落だなぁ。
ここで問題にすべきなのは、まず「なぜ個人情報が流出したのか」という点です。
請負契約を結ぶときに、業務量に見合った契約金額で結んでいたのか?
もしかしたら請負業者が不利な条件で契約締結せざるをえなく、人手が足りなかったかもしれません。
そのあたりをきっちりさせないと、今後も同じような事件が続くでしょうねぇ。
260000*500=130000000 (スコア:5, おもしろおかしい)
しれないし、怒らないで聞いて欲しいの……」
「……1億3000万円」
「ち、違うのよ!Technobose君が計算が出来ないとかそんなんじゃなくて、
ほら、誰だって間違えちゃうことはあるし、高知の病院さんに比べたら
些細な間違いだし、わたしは全然気にして無いから。ね、ね?」
あ、間違えた(^_^;) (スコア:1)
けど一億三千万円なら、確実に経営に響きますねぇ・・・。
Re:あ、間違えた(^_^;) (スコア:3, おもしろおかしい)
かえって暴動に発展しそうですが。
Re:あ、間違えた(^_^;) (スコア:1)
#終わらないってば
Re:一人500円と言えど (スコア:1, 参考になる)
談合決別宣言やら何やらで、土建屋さんの方ではダンピングで受注して手抜き工事というパターンが心配、とか言う話を新聞で読みました。
とりあえず、土建屋さんの方は置いといて、情報関連の企業では入札に際して「私用のパソコンでの winny その他のファイル交換ソフト使用が許可されている」、「個人情報漏洩の際は \500/1件(より多くても良いが) の賠償金を支払う事に同意する(支払能力がある)」あたりを入札参加資格の基準にすれば手抜きも無く社員の労働環境も良くなるんじゃないでしょうか。
# あ、労働環境の方は残業代は明朗会計、という基準が必要か…
Re:一人500円と言えど (スコア:1)
最終的な行為自体は各個人のモラルによるものだから、
データの持ち出し等を禁止したりするというのは難しいことですよね。
>>やばくすると単年度赤字転落だなぁ。
赤字かどうかってことよりも、そういった情報が悪用される心配があるかとか、
今後のお客様の信用をどう取り戻すかといったことを検討していくんじゃないかな?
どこぞの会社みたいに500円で謝罪入れとけばいいだろ的な考えは納得いかないです。
行為自体を禁止するのが難しいのであれば、
より安全で、情報漏えい等の危険の無い環境を提供できるように考えたいものです。
すでに商品化されていますが、仮想OS的ななにか等・・・
ローソンカードと比較するのは気の毒かも (スコア:2, 興味深い)
個人情報を集めて、買い物した品物とあわせた上、どんな商品を買う人なのかを調べる目的でしょう。
それは商売上かなり有益なので、特典みたいなサービスをつけても(たとえば数%引きとかポイント還元とか)、
広告費と考えれば安いものだから成り立ってるわけですよね。
病院で個人情報を集めてるからって、この人はどの病気になりやすいから事前に診断した方がいいですと広告(?)
するのに使えるわけでもないでしょう。集めても、管理が楽になる程度で特に病院側に利点があるわけではないってことです。
それを、500円分の金券をローソンとかが送って対応したからって、同じ対応を求めるというのは無理な話かと。
#個人情報を漏らされた患者さんにとってはたまったもんじゃないのかもしれませんが。
Re:ローソンカードと比較するのは気の毒かも (スコア:0)
>管理が楽になる程度で特に病院側に利点があるわけではないってことです
バカだな。
高知市立市民病院規模ならそれだけで数億円のコスト削減になってるのに。
#今回流出した情報だけならそんなことはないがな
Re:ローソンカードと比較するのは気の毒かも (スコア:0)
俺なら保険屋にでも売るね
Re:ローソンカードと比較するのは気の毒かも (スコア:1)
その情報は winny を自分の PC で起動するというリスクのみで、ほぼ確実に手に入るわけですが、いかほどのお値段がつくんでしょうか?
「県外に親会社がある高知市内のシステム開発会社」 (スコア:2, すばらしい洞察)
「県外に親会社がある」というくらいだから、大手なんでしょ?
記事には富士通の名前が出てくるけど、関係ないわけ?
Re:「県外に親会社がある高知市内のシステム開発会社」 (スコア:2, 興味深い)
トップページはこちら → ワールドビジネス高知センター株式会社 [wbkc.co.jp]
親会社はこちら → ワールドビジネスセンター株式会社 [wbc.co.jp]
もちろんプライバシーマーク取得すみ。
---------------------------------------------------------------
「プライバシーマークがないようだが?」
「あんなのは飾りです!えらい人にはわからんのです!」
---------------------------------------------------------------
猫又にゃぉ助
対策としたら、、、 (スコア:2, 興味深い)
また500円? (スコア:0)
Re:また500円? (スコア:1)
Re:また500円? (スコア:1, 参考になる)
- お客様情報流出の調査結果及び社内処分について [kddi.com]
# 個人情報を流出された1人なのでAC。なお、病名等の診療内容については、全く流出しておりません。 (スコア:0)
開き直ってる
淘汰という方向 (スコア:0)
セキュリティ意識の低いIT企業はもちろんクロですが、病院側も、そのような企業に発注し対価を支払ったという点で、責任はかなり重いですよね。
潔く 26万×500=1300万円 (送料なんかもかかりそう) 払ってしまうべきだと思います。それで病院が潰れたとしても、淘汰されたものとして諦めるべきではと。
Re:淘汰という方向 (スコア:1)
現在でも,過去に漏洩を起こした企業を調べるぐらいしか方法はないと思いますが,
情報漏洩大量発覚以前の流出では調べる方法は更にないかと.
システムの発注先がたまたま「セキュリティ意識の低いIT企業」だったからといって,
そのような企業に発注した病院が悪い,淘汰してしまえというのは無茶な話だと思います.
Re:淘汰という方向 (スコア:1, 興味深い)
だから、その無茶を可能にする方法を思いつかないなら、消えてしまえという事。
別に、開発を依頼する先の会社の素行を調べる必要は無いのでは?どんな会社であれ、データを外部に持ち出す事が不可能なシステムの中での開発を依頼しまえばよいのでは?
今時の東京近辺での開発現場は、USBやフロッピーディスクの使用を不可にしている事が多いです。従業員のモラルなぞに頼らず、大量の情報を外部に持ち出す事がほぼ不可能な仕組みを作り上げています。
IT関連の仕事はほぼ関東圏に集中していますが、Winnyによる情報流出事件は関東圏とその他の地方では、割合としてどちらが多いでしょうね?どこかにいいデータが無いかなあ。
それとも田舎では、無茶は無茶として諦め、思考を停止するのが当たり前なのでしょうか。
# 進歩を嫌うが故に田舎なのかも知れませんが。。。
今回の件では (スコア:4, すばらしい洞察)
なので、やろうと思えば請負契約ではなく、人材派遣とかに切り替えて発注者側が主体的に安全管理することはできますね。
ただ、問題なのはシステム運用管理を外部に頼る組織(役所に限らず)って、大部分がそういう能力を持っていないことなんですね。そして持ってないことを前提に情報システムを入れようとして、無駄な金を使ったり、適正な管理ができてないなど、投資が無駄になっているところが多いです。本来なら情報システムを入れる段階で人材を育成することを考えなければならないんですけどね。
体系的に基礎力を身につけるのに情報処理技術者のスキル標準は良いガイドラインだと思うのですが、どういう訳かお役所関係では全く無視されていますね。
一定規模の役所の情報システム担当部署の管理職は初級シスアド以上は必須条件といった政策をとってもいいと思うんだけど、どうでしょうかね。
Re:今回の件では (スコア:2, 興味深い)
情報管理部門への配属を前提として理系大卒者を技官採用するのは都道府県や政令市ならどこでもやっています。
それが市町村になるとかなり怪しくなってきますし、出先機関となるとそれを期待するのが無理な話で。
結局は専門職を雇用する予算と人事を廻せるだけの人的キャパシティがあるかどうかが決め手になります。
問題になるのは各現場レベルのスキルや意識で、不正腐敗防止のため人事ローテーションを取らざるを得ない以上、全職員に情報技術の教育訓練を施すのは絶望的だということです。
だから役所は「よきに計らえ」式にマル投げするしかないのです。
総務省の資料を見ていると確かにIT関連の人材育成が政策から抜け落ちているようにも見えます。
CIO研修は報告書がありますが
http://www.soumu.go.jp/joho_tsusin/top/local_support/index.html
それ以外は明記されないのでなにもやっていないように見えます。
ただ、よくよく考えて見れば、土木担当には土木の、建築には建築の、保健所には医学部や薬学部の、それぞれの専門教育を受け、その業務遂行に必要な資格を持った人材が採用され配置されています。
情報管理部門も本来は同じでなければいけないはずです。
現状はきちんとやっているところと、そうでないところがある。
きちんとやっていないところは、なぜきちんとできないのか。
これを改善するには関心と知識のある住民が地元の自治体についてきちんと情報公開制度を活用して調べ、改善策を提案していくなどの地道な活動が必要になるのではないでしようか。
ビジネス系情報システム担当者の素養 (スコア:1)
情報処理技術者のカリキュラムをマスターできるだけの能力が有れば良いわけですし、プロジェクト管理能力がある人なら、足りない部分を補強するだけでとれるでしょうし、あのカリキュラムって実務をしている人なら案外取得しやすい資格ですし・・・。対外的に組織の能力を示すために新規取得させるにしても、コストはそんなにかかからないでしょう。
逆に試験対策だけでは、かなり厳しいと思いますね。
今いる人材を、いかにこれからの状況に向けて能力開発させるかという見識が有れば良いだけだと思います。
Re:淘汰という方向 (スコア:1)
または
既視感
個人情報保護は医療に結びつきません (スコア:0, フレームのもと)
病院は医療の場であり、医療を第一とするべきです。
残念ながら、今の病院には個人情報保護に割り振る余力はありません。
そして、保護したところで患者が治るわけでもありません。
とにかく金がないんです。
単価は下がる、医療コストは上がる、赤字の患者を断れない…
今の時代、病院に一度も行ったことがない人がいるでしょうか。
「病院に行ったことがある」ということが本当に重要な情報でしょうか?
「(重要な情報の)流出はない」といっても構わないと思います。
Re:個人情報保護は医療に結びつきません (スコア:5, 参考になる)
今回は幸いな事に病名の流出が無かったから、まだいい。
しかし、病名まで含めた情報が流出すると、やはり困る。
だから、個人情報の保護については、しっかり予算を割振って頂きたい。
しかし。今は、医療費削減ばかり叫ばれて、病院に余力が無いのも確か。
特に、小泉が厚生大臣→首相になってた時代は酷いものがある。
診療報酬の安さは、もう笑っちゃうくらいで。
例えば、レセの電子化加算。僅か3点ですよ。30円。しかも初診時のみ。
チロルチョコ3つ分で、いったいどんな対策ができるんですか!
ちなみに、これと同時に初診料は4点減らされていますので、
実質は加算をしても差し引き1点の減点です。
トイレのトラブル5000円なのに、あなたのトラブル2730円ですよ。
これで個人情報の管理500円もしてろってのは、無理。
Re:個人情報保護は医療に結びつきません (スコア:2, すばらしい洞察)
Re:個人情報保護は医療に結びつきません (スコア:4, すばらしい洞察)
少しは事態の大きさがご理解いただけるでしょうか。
> 病院は医療の場であり、医療を第一とするべきです。
を盾に無茶苦茶ワガママ言ってるだけな気がするんだけど。
ちと視野が狭すぎやしませんか。
> 個人情報保護を旗印に、年々仕事がしにくくなっています。
も、
> 残念ながら、今の病院には個人情報保護に割り振る余力はありません。
> そして、保護したところで患者が治るわけでもありません。
も、どこだってそうです。病院に限らず。
最後の3行に至っては、もはやただの開き直りじゃあ。
中の人かい?と勘ぐりたくもなります。
--
<<<スルーカが足りない!>>>
Re:個人情報保護は医療に結びつきません (スコア:2, 興味深い)
少しは事態の大きさがご理解いただけるでしょうか。
不動産屋などに流されたらもう・・・でしょうね。
医師はもちろん、看護師さんなどの有資格者は同年代のOLさんなどに比べれば高い給与貰っているわけで。(特に病棟勤務)
しかもそこそこのキャリアがあって単身だとか、共働きが予想される場合なんかだと格好のターゲットですよ。
自宅へだけならまだしも、職場にまで売り込み電話がかかるようになれば、業務にも支障が出ますしねえ。
現場の迷惑も相当なものになると予想されます。
#昔実際に電話で「マンション買いませんか?」攻撃を食らってた時期があり。しかも都市部の、標準的な単身OLではまず無理な物件ばかり。明らかに自分の素性判っててかけてるとしか思えんかったです・・・(あの時も何処からか漏れたんだろうなあ)
Re:個人情報保護は医療に結びつきません (スコア:2, 参考になる)
本件も真っ先に責めるべきはWinnyで情報流出させたIT会社員であり、
首謀者のように非難されている病院の関係者はお気の毒です。
しかし事情を知らない者から見れば、医者は高給取りのエリート。
苦労したのは医学部に受かるまでじゃないのか、というのが本音。
とりあえず、日経SAFETY JAPANの参考記事を紹介しておきます。
個人情報保護法の功罪 [nikkeibp.co.jp]
場当たり個人情報保護から攻めの情報活用へ [nikkeibp.co.jp]
医療社会学から見たリスク [nikkeibp.co.jp]
匠気だけでは商機なく、正気なだけでは勝機なし。
Re:個人情報保護は医療に結びつきません (スコア:2, すばらしい洞察)
そもそもこのニュースは業者の問題で医療関係者も例外ではない一般の問題なのでしょう。医療と個人情報保護法に関して、むしろ私が気になるのは、この法律によって新しい医療に向けた研究のスキームが成り立ち難くなっているのではないかということです。医療の場合、研究段階で多くの症例を基盤に評価を行う必要があると思いますが、その情報の共有に関して共通の枠組みが無く、病院毎あるいは医局毎にルールが違ってしまうと、情報の共有は沢山あるルールを全部満たすような狭い範囲でしか成り立たず、結果情報の共有が難しくなってしまうように思えます。
初めに個人情報保護法には手直しが必要と考えていると書きましたが、今の法律はそれによってどのような波及効果があり、逆にどれほど恩恵があるかを考えるとアンバランスが大きいと思えます。もう少し法律の副作用まで考えに入れて手直しをすべきじゃないかと思えてなりません。
Re:個人情報保護は医療に結びつきません (スコア:1, すばらしい洞察)
>今の個人情報保護法は色々手直しが必要だと思っていますが、
よろしければ、具体的な問題点を列挙していただけますか。
>新しい医療に向けた研究のスキームが成り立ち難くなっているのではないかということです。
医学界には各分野の学会はじめ日本医師会のような医学者の団体があって、やる気さえあれば研究スキームの有り方を自主的に検討する場が存在します。
それではダメなのでしょうか。
>その情報の共有に関して共通の枠組みが無く、病院毎あるいは医局毎にルールが違ってしまうと
それは医学界の問題ではなく白い巨塔の中の問題ではないでしょうか。
大学病院のお話しのようですが、文科省所管の大学病院は教育と研究に関しては大学自治が認められており厚労省にとり治外法権的な部分があります。
それが建前であったとしても研究者自身が自主的に個人情報保護の枠組み造りに乗り出す事に批判や異論が出るとは思えません。
むしろ問題点を熟知している医学者が枠組み造りを主導するのが自然な姿のように思われます。
公設、私設の一般病院における個人情報保護のあり方についての問題提起は積極的になさるべきであると思います。
全国的な統一基準を設けようとするならば最終的には厚労省を動かす必要が出てきます。
いずれにしても、現在の法制度に疑問や不都合をお感じになられていらっしゃるならば、それはぜひ具体的な議論を提起していただきけますようにお願いいたします。
なぜなら、それが最終的には医学の進歩といった形で私たちにも恩恵をもたらすからです。
Re:個人情報保護は医療に結びつきません (スコア:1, 興味深い)
この3つがあるだけで、その後のダイレクトメールの量がかなり増えそうな感じもしますが・・・
揚げ足ですが、医師にとっての個人情報が病気のことに限定されていて、住所等の基本的な情報は対象でないって話ですよね。
今回は幸いにも基本的な情報のみの流出にとどまっていますが、個人情報管理にあてる金がないなんて言っていたら
明日にでも病状の詳細まで漏れてしまうかもしれません。
特に、「また、これまでの調査では、流出した情報は高知医療センターからではないことが確認されています。」としているように、
他からの流出であって病院側に責任はないとでもいうようなやり方は、あまりにもお粗末ではないでしょうか。
情報が重要かそうでないかに関わらず、対応方法に見直す点は多いと思いますよ。
Re:個人情報保護は医療に結びつきません (スコア:1)
#「患者を名前で呼ばない」とか「病室に名前を表示しない」とかは流石にやりすぎだというか見当違いだと思う。
Re:個人情報保護は医療に結びつきません (スコア:2, 参考になる)
患者のプライバシーも大切だけど,数字の読み間違え/聞き間違えによる本人確認ミスが怖いな.
/.-j病院の場合 (スコア:5, おもしろおかしい)
# 院内禁煙とかのアナウンスはブロードキャストで
Re:/.-j病院の場合 (スコア:2, おもしろおかしい)
Re:個人情報保護は医療に結びつきません (スコア:2, 参考になる)
私のかかりつけの薬局は、顧客を呼ぶ際には処方箋を預った時点でわたしてあるカードの番号で呼ばれるようになっています。ちなみに都内。
それほど大きな病院がまわりに無いせいもあるのか、だいたい待っている顧客は3人〜5人なので問題無。
お約束 (スコア:1)
#ああ、あの世界は個人情報保護が行き過ぎた結果なのか。
Re:お約束 (スコア:1)
# たしかに、番号で個人を呼ぶ世界は暗鬱なSF物を彷彿とさせますね。
# でも割り当てられた番号が1024番や65536番だったら、ニヤっと笑って許してしまいそうな自分。
Re:お約束 (スコア:1)
…なんのために?
Re:個人情報保護は医療に結びつきません (スコア:1)
Re:個人情報保護は医療に結びつきません (スコア:1)
個人情報を流通させて利益得るための免罪符のような気がするのですが,,,
・・・え (スコア:0)
って十分個人情報ですよね?
Re:個人情報保護は医療に結びつきません (スコア:0, オフトピック)
なんて言おうものなら、
「名前と、かかっている科が漏れた。」
なんて言われる時代が来るんでしょうか?
Re:個人情報保護は医療に結びつきません (スコア:1)
病院があるってことが描いてあったなぁ。
Re:個人情報保護は医療に結びつきません (スコア:0)
とは言え、診察室に呼ばれる前に名前呼ばれるので・・意味無しかもしれませんがね。
それより診察室で携帯メールしている馬鹿女子高生はどうにもならん・・・注意しても素知らぬ顔 Orz
Re:どうして個人情報(住所や氏名)が必要なわけ? (スコア:1)
ひどいなぁ、あなたの所の常識を社会全体の常識のように言わないで欲しいな。
>SIerの批判するなら、最低でも数十億以上の売り上げが出るプロジェクトに携わってから言いな。
売上の規模と、投入される人材の質に相関関係はないでしょう。
私の周りでは、むしろ規模が大きいと、人の集め方がいい加減になるような気がするね。
Re:個人情報なんて集めなきゃいい (スコア:1)
相手方(患者)に渡したくないのではないかと思います。