難病研究用データに個人情報、ファイルから削除し忘れ - 厚労省

医薬健栄研では、難病データベースの格納データよりCSVデータを作成し、表計算ファイルのシートとして一時保存。同シートをもとに、個人情報を含まない必要なデータのみ抽出した別のシートを作成し、元データのシートを削除した上で厚労省へ送付すべきところ、削除し忘れたという。

同研究所より提出されたデータは、同省内で委託先である日立製作所がIDの付与など提供用データに加工するが、加工に用いる表計算ファイルのシートについては個人情報の有無などをチェックしたものの、ファイル内に元データのシートが含まれていることを想定しておらず、問題に気が付かなかった。

同省では今回の問題を受けて、提供した表計算ファイルを研究者から回収。目的外利用やデータの複製など行っておらず、研究者以外への流出がないことを確認した。同省では対象となる患者に対し、謝罪の書面を送付する。

今後は、同研究所や同省におけるダブルチェックの徹底のほか、表計算ファイルの作業フローを見直すなど再発防止策を講じるとしており、対策を実施するまでデータの第三者提供を停止するとしている。

（Security NEXT - 2022/08/16 ）ツイート