委託元の2病院から従業員が患者情報を持ち出し - インテック

インテックは、同社が業務を受託している病院の患者情報を、同社従業員が不正に自宅へ持ち出していたことを明らかにした。

同社によれば、業務を受託している高岡市民病院および市立砺波総合病院から、従業員が患者の個人情報を不正に持ち出したもの。高岡市民病院32人分と、市立砺波総合病院11人分の患者に関する個人情報が記載された紙資料で、氏名や住所、生年月日、性別などが記載されている。

同従業員は、市立砺波総合病院において2017年4月から2019年3月までの2年間、および2019年6月から8月までのうち8日間、病院情報システムの運用業務を担当。高岡市民病院では、2019年8月に2日間、同様の業務を担当していた。

同従業員がファイルを添付したメールを個人用のメールアドレスへ送信する禁止行為を9月11日に同社システムで検知。これを受けて調査を行ったところ、同従業員が資料を自宅に持ち出していることが判明した。

持ち出した資料については、すでに回収済みとしており、同従業員から第三者に対する流出は確認されていないという。またパソコンや他機器によるデータの持ち出しについても否定した。他医療機関においても持ち出しも行っていないか調査を進めている。

同社は原因について、同従業員が1人で運用業務を担当する時間帯があり、業務を行っていたコンピュータ室へ鞄を持ち込みできる環境にあったと説明。あわせて監視体制の不備、人員配置の問題、指導不足のほか、従業員本人におけるセキュリティ意識の欠如なども挙げた。

同社は従来よりメール添付ファイルのチェックや自宅パソコンのデータチェック、セキュリティ教育の実施など行ってきたが、今回の問題を受けて再発防止に取り組む。

具体的には、私物の持ち込みや持ち出しルールの厳格化、監視カメラによる監視の実施など管理体制を強化。操作ログの取得や抜き打ち検査、従業員教育などを実施する。従業員や関係者の処分については調査終了後に実施するとしている。

（Security NEXT - 2019/12/03 ）ツイート