個人情報漏洩~歯科医院トラブル事例と対策

 個人情報の漏洩は日本年金機構や東京電力、大手カード会社等の大企業でも発生しており、新聞やニュースを賑わせることも少なくありません。歯科業界でも昨年(平成27年)、九州歯科大学のパソコンが標的型メールによりウイルス感染していたとの事案もありました(なお、個人情報が流出した事実は確認されていないそうです。)。
このように、昨今ではいつどこで情報漏洩が起きるかもしれず、歯科医院でもカルテを紛失したり、患者情報が記録されているパソコンが盗難にあったりと、危険は身近なところに存在しています。
今回は、歯科医院における「個人情報の漏洩の危険性」と「有効な対策方法」について、お話していきます。
1 個人情報とは
1-1 歯科医院の「個人情報」
 個人情報保護法では、保護されるべき個人情報を、氏名・性別・生年月日その他の記述によって【個人を識別する情報】と定義しています。
歯科医院内で個人情報が記載されているものとしては
診療録、処方せん、助産録、照射録、手術記録、検査所見記録、エックス線写真、歯科衛生士業務記録、歯科技工指示書、調剤録・・・
などが該当し、これらは紙媒体であってもパソコンやUSB等の電子媒体に保存されているものであっても、厳重な保管が求められます。
1-2 情報漏洩の原因

 情報漏洩の原因は何でしょうか。下のグラフをご覧下さい。
個人情報漏えいインシデント 概要データ
(※出典 特定非営利活動法人 日本ネットワークセキュリティ協会 2015年情報セキュリティインシデントに関する調査報告書より)

実は、75%近くが「紛失・置忘れ」や「誤操作」などのヒューマンエラーで発生しており、不正アクセスや盗難等の犯罪行為は20%程度にとどまっています。
ですから、歯科医師やスタッフの「うっかりミス」で個人情報が漏洩することこそを十分に想定すべきであり、「うちの医院には個人情報を盗むような不届き者はいないから大丈夫」と高をくくるのは早計です。
どこの歯科医院でも、個人情報漏洩の危険があるということを肝に銘じておきましょう。

2 漏洩してしまった場合
2-1 金銭的賠償
 では万が一、歯科医院から個人情報が漏洩した場合、先生方や歯科医院はどのような責任を負うのでしょうか
■歯科医師が個人情報を漏洩させた場合
歯科医師は、情報が漏洩してしまった個人に対して損害賠償義務、すなわち「金銭で補償する」責任を負うことになります。
■歯科衛生士などのスタッフが個人情報を漏洩させた場合
そのスタッフの雇用主である歯科医師(経営者)は、使用者責任の名のもとで同様の責任を負うことになりますので、この場合も損害賠償発生義務が生じます。また、歯科医院が医療法人の場合は、「医療法人」も監督責任として同様の義務を負うことがあります。
2-2 具体的な賠償金額
 個人情報が漏洩した場合の具体的な補償額は、一概に決められるものではありません。過去には
・自治体の住民基本台帳のデータシステムから住民の住所、氏名、性別、生年月日が流出:1万円
・TBCグループの顧客の住所、氏名、職業、スリーサイズ、身体の悩みなどの情報が流出:3万5000円
という金額の賠償が認められています。
歯科医院で情報が漏洩するならば、氏名等と併せて「診療履歴」等も漏洩してしまう可能性が高いです。これらの診療情報は、(先のTBCグループの例とまではいかないものの)他人には公開されたくないセンシティブな情報といえるので、損害賠償額もこの金額に近くなることが予想されます。
2-3 刑事罰

 個人情報の漏洩で問われる可能性がある刑事罰は、以下のものが考えられます。
○業務上知り得た秘密をわざと漏洩
秘密漏洩罪(6月以下の懲役又は10万円以下の罰金)
○不正な利益を得る目的で、第三者に個人情報等を提供
個人情報保護法違反(6月以下の懲役または30万円以下の罰金)
○なりすましやハッキングにより他社のサーバーに侵入
不正アクセス禁止法違反(3年以下の懲役又は100万円以下の罰金)

なお、刑事罰は「不正な目的を持って行う行為」を対象としており、うっかりミスの場合には刑事罰まで問われることはありません。また、刑事罰の対象になるのは、名簿屋に情報を売ってお金にする場合や、漏洩件数が多かったり、反復継続して個人情報を悪用していたりなど、相当程度悪質な場合に限られますので申し添えておきます。

3 有効な漏洩対策
 個人情報の漏洩対策として有効なのは、まずは院内のルールを明確にすることです。どの程度のルールを定めるかは、歯科医院の規模等によって変わってきますが、下記の項目はぜひご検討ください。
3-1 電子データの取扱い
 パソコン上のデータについては、IDやパスワードによるアクセス制限、適切なウイルスソフトの導入ローカル管理禁止など、基本的な事柄は必ず整備してください。その他にも、データをUSBなどにより外部に持ち出せないように書き出し制限をかける、管理者権限を強化する、定期的にアクセスログをチェックするなどの措置を講じましょう。
3-2 対患者
 個人情報の取り扱いに敏感な昨今ですから、個人情報を適正に取得・管理していることを積極的に公表することで、歯科医院の信用を高めることにもなります。
例えばその方法として、個人情報を取得する「利用目的」を院内へ掲示しておくことが、厚労省のガイドラインや日本歯科医師会により推奨されています。また最近では、ホームページにプライバシーポリシーも掲載している歯科医院も増えています。
3-3 対スタッフ
 最も一般的なのは、就業規則を定め、誓約書を提出させることでしょう。また、就業規則とは別に個人情報管理規定を制定し、スタッフ全員へ個人情報を適切に管理することの重要性を周知させるのも良いですね。
また、紙媒体の診療録や患者名簿がある場合には、毎日の業務終了時に所定の保管場所に収納されているか確認するのを日課にしてください。
3-4 具体的なスタッフ教育
 過去、スタッフが業務上知り得た情報を複数回親族に話したとされる個人情報漏洩事件では
・個人情報管理規定を制定し、守秘義務の誓約書を提出させており
・毎月1回開催される会議においての指導をした にもかかわらず
「その指導は具体的に注意を喚起するものではなく十分ではなかった」と、裁判で認定されています。
このように、裁判で争われた場合には「医院側の指導内容」を非常に細かくチェックされるでしょう。
形式的に守秘義務の誓約書提出などを整えても、監督責任は免れない可能性が高いので注意が必要です。
4 それでも漏洩してしまったら
 どれだけ厳格に定めても、情報の漏洩を完璧に防ぐことは困難です。
万が一漏洩してしまった場合は、まずは責任者に報告するように医院内で周知し、報告後は医院内で事故の原因を調査する必要があります。その後、再発防止策をまとめた報告書を作成して行政機関に報告しなければなりません。
このような事後的な対応を行うことも、歯科医院側の責任減少のために重要な行為ですので、適切な処置を講じましょう。
The following two tabs change content below.
弁護士法人ピクト法律事務所
担当弁護士櫻井良太
歯科医院を経営する先生方は、診療のことだけでなく、医院の経営もしていかなければなりません。経営に関する問題は様々な法律が関わっており、一筋縄ではいかないものもあります。先生方の経営をお支えします。ご気軽にご相談ください。

関連記事

運営者

ページ上部へ戻る