医療と情報セキュリティ
- 2. 自己紹介 ● 氏名: ● 所属: ● Twitter:aeoe39950426 ● 最近は青空レストランの 実況をしています
- 3. 今回のいきさつ • 昨年の春先に自転車事故を起こす • 貴重な春休みを入院生活に費やす • 今日は入院中に気になった医療の セキュリティについて話します
- 4. おしながき • 医療現場における セキュリティインシデント事例 • セキュリティ対策
- 6. 事例紹介 大きく四つに分類できる → 紛失及び盗難による流出 → メールの誤送信による流出 → インターネット上への流出 → 情報の不適切な廃棄及び再利用
- 7. 紛失及び盗難による流出 • USBメモリの紛失が圧倒的に多い → 規約を守らずにコピーしていて紛失 → 暗号化を行っていないケース多し • パソコンの盗難(デスクトップも含む) → 規約にあったがワイヤー設置してなかったり → 規約を守らず持ち帰ったり
- 8. メールの誤送信による流出 • 間違った送信先及びBccなどに情報を 送信してしまうケース
- 9. インターネット上への流出 • 外部からの不正アクセスによるもの → HPプログラムの脆弱性を利用 • ウイルス感染によるもの → 個人使用のPC等から感染 • ファイル共有ソフトによるもの
- 10. 情報の不適切な廃棄及び再利用 • 個人情報の不適切な廃棄 → ごみ集積所に資料が置いてあったり → トラッシングの被害に遭う可能性 • 不適切な再利用 → 裏紙を再利用して個人情報流出 → 外部でのカルテの無断使用等
- 11. インシデントまとめ • 規約が守られていなかったり • 職員の安全管理意識が低かったり • ちょっとしたミスしてたり 最大のセキュリティホールは人間
- 12. セキュリティ対策
- 13. セキュリティ対策 • 厚労省が適切な情報の取扱いについて まとめたガイドラインを公表している • 個人情報の利用目的等の公開、取扱いマ ニュアルの策定、職員に対する研修等 を行うよう求めている
- 14. なすべき具体的な対応策 • 医療機関内部に関する取り組み → セキュリティポリシーの策定・公開 • 対外的な取り組み → プライバシーマークの取得
- 15. セキュリティポリシーとは • 組織全体のセキュリティに関する基本方針 • セキュリティ対策の基準や手順を記す • 公開することにより以下のメリット → 職員のセキュリティ意識向上 → 責任の所在を明確化できる → 組織イメージや信頼性の向上
- 16. プライバシーマークとは • 日本情報処理開発協会による 個人情報取扱いに関する認定制度 • 指定の審査機関を通すことで取得可能 • 利用者に安心感を与えることができる
- 17. 最後に(まとめ) ● インシデント要因の殆どは人的ミスによる ものであり、改善の余地がある ● 医療における情報利用は利用者のために 行っていることを忘れてはならない