患者情報の漏洩対策:電子カルテ等

更新日:2023/3/3

 
 

患者情報とは

患者情報は個人情報であり、個人情報保護法という法律で守られています。まずはじめにこの「個人情報」とは何を指すのか確認しておきましょう。
 

  • 「個人情報」の定義
    • 『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。』
       
      このように「個人情報」とは、生存する個人に関する情報であり、その情報に含まれる氏名や生年月日などの記述によって、特定の個人を識別できる情報のことを言います。例えば、氏名だけであればそれだけでも特定の個人を識別できるため、「個人情報」となります。また、氏名だけでは特定できない場合でも、勤務先や年齢などのプロフィール情報を加えることで、その人が誰であるかを特定できる場合は、それらの情報が組み合わさって「個人情報」となります。

 

  • 患者情報の重要性と取り扱いについて
    • 2022年4月に施行された個人情報保護法改正により、病歴は「要配慮個人情報」となりました(*1)。つまり、患者情報が漏えいした場合、患者のプライバシーが侵害され、心理的な苦痛を受けるだけでなく、差別や偏見などの被害を受けるリスクがあるのです。厚生労働省により、個人情報の守秘義務規定(*2)が明確に定められており、これらの情報を漏らした場合は、医療従事者であっても刑事罰が科せられる可能性があります。電子カルテには患者情報が保存されているため、特に慎重に扱わなければなりません。

 

電子カルテの患者情報漏洩対策

電子カルテに保存されている患者情報の漏洩対策には大きく分けて以下の2つの対策が必要となります。
 
1:外部からの攻撃(ランサムウェアなど)への対策
・ファイヤーウォールやVPN接続
・ウイルス対策ソフトの導入
・認証システムの導入
・定期的にこまめにバックアップする
・データを暗号化する
 
2:人的なミスや不正(内部スタッフ及びシステムを利用する外部パートナー)への対策
・運用管理規定を作成し、その周知・徹底(教育)を定期的に行うことが大切です。ただし、運用管理規定は利用するスタッフのセキュリティに対する意識や知識レベルにより定められる必要があります。意識や知識レベルが低い場合は便利な機能や機器の利用を禁止したり、管理者によるチェックの回数が増えるなど、非効率になってしまいます。
 

  • 【運用管理規定の例】
    • 基本的に情報デバイス(USBメモリなど)は使用禁止
    • PCやデータを持ち出す際は管理者から承認をもらう
    • 電子カルテを扱えるスタッフを限定し、利用時はパスワードでログイン、利用が終わったらロックをかける(電子カルテを利用できる状態で放置しない)
    • 新しいソフト(プログラム)をインストールする際は管理者から承認をもらう
    • ウイルスソフトをインストールし、常に最新に保つ
    • OSやソフトウェアを適宜、最新にアップデートする
    • 職員の役割に応じたアクセス権限を設定し、不必要なアクセスを遮断する
    • アクセスログの記録や監視を行う

 
————————————————————————————————————————————————————————
セキュリティに対する意識や知識レベルをアップする為には、
【初心者向け】わかりやすいサイバーセキュリティの基本→をご覧ください。
————————————————————————————————————————————————————————

関連情報

 

 

 

BACK TO TOP