企業や官公庁などからの情報持ち出しは、多くの場合「悪用」を目的として行われます。当コラムでも、過去にさまざまな情報持ち出し事件をご紹介してきました。
しかし、情報持ち出し事件の中には、おそらく悪用する意思はなかったにもかかわらず、結果として重大なトラブルにつながってしまったケースもあります。今回は、近畿大学病院で発生した情報持ち出し事件を参考に、情報管理や社員素行調査の重要性について考えてみましょう。
【参考】
・https://megalodon.jp/2024-0526-0018-57/https://www.yomiuri.co.jp:443/national/20240514-OYT1T50030/
■近畿大学病院の医師が患者の情報を無断で持ち出していた!
2024年5月13日、近畿大学病院は、産婦人科に勤務していた40代の男性医師が、約2,000人分の患者のデータを無断で持ち出していたと発表しました。今のところ具体的な被害は確認されていないものの、患者の個人情報が漏洩した可能性があるとしています。近大病院は3月末に、不適切な行為だったとしてこの医師との契約を打ち切っています。
この男性医師は、電子カルテで閲覧した患者の名前や年齢、血液検査のデータなどの情報を個人のパソコンに保存し、病院から持ち出していました。あくまでも研究目的で持ち出したそうですが、持ち出しに必要な申請が行われておらず、研究の終了後もデータは削除されていなかったとのことです。
■持ち出した情報が保存されているパソコンでサポート詐欺に引っかかる
前項の内容だけでも十分問題なのですが、実はここからさらに事態が悪化していました。というのも、この男性医師がいわゆる「サポート詐欺」に引っかかったからです(持ち出しの発覚もこれがきっかけ?)。
男性医師は2月末、大阪府内の別のクリニックで当直勤務中、持ち出したデータが保存されているパソコンで芸能ニュースを閲覧していました。すると、おかしなリンクでも踏んでしまったのか、「ウイルス感染」を示す警告メッセージが表示されたのです。これはよくある詐欺なので、適切に対応していれば何の問題も起きなかったでしょう。
ところが男性医師は、サポート名目で出された指示に従っているうちにパソコンを遠隔操作され、ウイルス除去の名目でプリペイドカードを購入させられてしまったのです。そして遠隔操作中、パソコン内のデータは詐欺犯側が入手可能な状態でした。患者の情報が漏洩した可能性があるとされたのは、このトラブルのせいだと思われます。
それにしても、40代ならこの手の詐欺の知識くらいはありそうなものですが、なぜ引っかかってしまったのでしょう? やらかす人は徹底的にやらかす、ということなのかもしれません。
■悪用が目的でなかろうと、情報の無断持ち出しはアウト!
今回の事件の重要なポイントは、男性医師にはおそらく情報を悪用するつもりがなかったと考えられる点です。男性医師は、患者情報の一部を利用する研究の承認を大学側から受けており、実際に研究を行っていました。無断で情報を持ち出したのは不適切でしたが、誰かに情報を売り渡すとか、独立した時に患者を奪うとかいった意図はなかったのでしょう。
ところが、よりにもよってその情報を保存したパソコンでサポート詐欺に引っかかり、パソコンを遠隔操作されてしまったわけです。たとえ本人に悪用の意思がなかろうと、情報を不適切に持ち出してしまえば、何らかのきっかけで漏洩してしまうおそれがあることがよくわかります。
また、悪いことは重なるもの。近大病院では、妊婦健診時に撮影した胎児のエコー動画を誤って別の妊婦に渡すミスも複数発生しており、情報持ち出し事件と同じく5月13日に発表されました。あまりにも杜撰としか言いようがなく、近大病院の情報管理体制に厳しい目が向けられています。皆様の会社でも、情報管理の徹底を!
■社員素行調査は、スマイルエージェント本部にお任せ!
企業や組織の情報というものは、徹底的に管理されなければなりません。情報を不適切に使った結果として重大なトラブルが発生した時、「悪気はなかった」では済まされないのです。
関係者の動きには十分に目を光らせ、不審な動きをしている人物がいたら、対策の1つとして探偵の調査も検討してみましょう。お悩みの際は、スマイルエージェント本部までお気軽にご相談ください。
