横浜市立大病院の情報漏洩の原因は?送信相手の特定や被害状況と今後の対応についても

2019年8月5日、神奈川県の横浜市立大病院で、ぼうこうがんの患者の個人情報、約3400件分を、宛先不明のメールアドレスに誤って送信し、漏えいさせたことが発表されました。

今回漏洩した患者の個人情報はぼうこうがんの臨床研究に使われており、研究に協力する医師22人に送る予定が、誤って使用者不明のアドレス2件に添付し送信してしまったとのこと。

そもそも使用者不明のアドレスが指定されるような環境には疑問が残り、情報管理の仕方に原因がありそうです。

今回は情報漏洩の原因となった情報の取り扱いの様子や、メールの誤送信先の特定、被害状況についてまとめました。

横浜市立大病院の情報漏洩の原因は?

今回の事故について、横浜市立大学附属病院側は「膀胱がんの予後に関する臨床研究の調査の過程」で、「研究倫理委員会で承認された研究計画書を遵守せず、患者情報が適切に取り扱われなかったことが原因」とコメントしています。

実際に以下の研究計画書の違反があったそう。

  • 当院泌尿器科の責任医師が、協力病院医師に対して「氏名、生年月日等の個人を特定できる情報」を含めた調査票の記載を依頼していた(匿名データによる集計の煩雑化を嫌ったため)。
  • 他病院の患者情報を含めたメールを協力病院へ一斉送信していた。
  • メールアドレスの確認を怠っていた。
  • パスワードロックを怠っていた。

問題が起きた当日は、関係先22名への同時メールを送信した際に送信できなかった先があり、対応策として個人メール(Hotmail)を利用したそう。しかしその後、送信先に確認しながら送信履歴を確認したところ

  • Eメールアドレスをコピーした際の操作ミスにより、アドレスに数字表記がある人の数字がズレていたことが判明。
  • 最終的に確認すると、送信した22名のアドレスのうち、正しいアドレスだった9名には送信され、 間違ったアドレスのうち、11名は送信されず戻ってきたが、2名について送信がされている ことが分かった。

とのことです。

22名のうち多くの人が送信できなかった背景には、迷惑メール設定などがあるかとは思いますが、個人アドレスから一斉メール、とはお粗末かもしれませんね。

違反の主な理由は、「研究の煩雑さを少しでも解消したかった」というところのようですが、普段から責任者である医師が普段からこのように個人情報を扱っていたことで、患者さんを含めた家族、信頼してデータを預けていた関係者全ての方々の信頼を損なうこととなってしまいました。

送信相手の特定や被害状況と今後の対応は?

今回の情報漏洩において気になる点の一つは「送信相手」ですが、病院側にも宛先不明

横浜市立大学附属病院側は「再発防止策」として以下のようにコメント。

今後の取組として、患者情報等の適正管理を継続して徹底していくため、病院長直属の多職種による調査チームを常設し、各診療科の患者情報等の管理体制に関する立ち入り調査を実施します。さらに第三者を含む調査委員会を設置し、各診療科の管理体制など問題点の把握と再発防止策の検討・提言を行います。出典:公立大学法人横浜市立大学記者発表資料

現在は具体的な再発防止策についての明言はありません。

今後対応が取られていくとは思いますが、信頼を回復するまでには時間がかかりそうです。

ネットの反応

ネットの声
横浜市民は、そもそも市大病院を信頼していないので、こういうニュースがあっても全く驚かない。
ネットの声
市大を無くして他の大学病院を誘致してほしい。
ネットの声
大企業の社長さんとかが含まれていたら、株価が暴落するだろう。
なので、間違ってしまってもさほど問題ないことと、絶対に間違ってはならないことがあり、今回の件は後者に該当するといえる。