MSレポート NO.15

掲載されました
no15img1
ここでいう情報セキュリティマネジメントシステム(ISMS)とはISO27001:2005版に基づいています。

F病院で、1,021人分の入院患者の個人情報紛失
F総合病院は、入院患者1,021人分の個人情報が入ったUSBメモリー(外部記憶媒体)※を紛失したと発表した。8月27日にF署に遺失届を提出した。
同病院によると、紛失したUSBメモリーには6~7月に入院していた全患者の氏名、生年月日、診察券番号、保険者番号、被保険者記号番号、保険負担率、保険有効期限、診療金額明細、入院診療科、入退院日、入院日数が記録されていた。住所、電話番号、病歴はなく、今のところ不正使用の事実はないという。
医療事務課の男性職員(40代)が8月12日、病院のパソコンで入院患者の情報処理をしたあとUSBメモリーに保存して、財布に保管。同25日に使おうとして、紛失に気づいたという。同病院では、平成17年4月から個人情報を病院外に持ち出すことを禁止しており、事情を聴いて、厳重に対処するとしている。同病院では「患者の皆さまにご迷惑をおかけして申し訳ありません。再発防止に努めたい」としている。(2008年9月1日付新聞記事より)
USB※USB(ユーエスビー:Universal Serial Bus)メモリー
USBコネクタに接続して使用する、持ち歩き可能なフラッシュメモリ。 容量は512MB~32GB程度で、フロッピーディスクに代わる手軽なメディアとして広く利用されている。

男性職員は、なぜ入院患者の個人情報(データ)をUSBメモリーに保存する必要があったのか。また、なぜ自分の財布に保管していたのか…理由はまだ明らかになっていません。紛失した個人情報の不正使用がないのは不幸中の幸いですが、今回のように組織の重要な情報が記録されているUSBメモリーが紛失するトラブルが後を絶ちません。
そこで今回は、持ち運びが容易な記憶媒体(USBメモリーやCDなど)の紛失事故を防止するためにはどうしたらいいのかを、ISO27001/ISMS(情報セキュリティマネジメントシステム)の視点から考えてみたいと思います。

※= ISMSとは =
ISMSとは、Information Security Management System=情報セキュリティマネジメントシステムの略で、企業などの組織が情報の流出、紛失を防ぎ、適切に管理するために構築する、総括的な枠組み。つまり、組織が重要と考える「情報」に関して機密を守り、誤った使用や改ざんを防ぎ、必要な時に安全確実に利用できるようにしておくこと。この状態を実現し続ける仕組み・ルールをISMSといいます。
以下、ISMSはその「情報セキュリティマネジメントシステム」が示している要求事項の意訳です。

PC組織は、組織の情報を管理する場合、取り外しが容易な媒体に対しても管理方法や処分方法など取り扱いについてルールを決める必要があります。管理の程度は、情報が喪失した場合の影響の度合いに応じて決めます。また、ルールが守られているかどうかチェックする必要があります。
今回、USBメモリーは職員自身の財布に保管し、約2週間後に紛失に気づいたとのこと。もしかして、USBメモリーの保管方法や施錠管理について明確になっておらず、媒体の管理を個人に委ねていたのかもしれません。

ISMS媒体の取扱い
組織は、組織の資産に対する損害、及びビジネス活動の中断を防止するために、取り外し可能な付属媒体の管理、媒体の処分、情報の取扱い及び保管についての手順を確立しなければならない。また、システムに関する文書は、不正使用から保護しなければならない。
不正使用保護

組織は、組織の情報を取り扱うすべての人に対して、情報管理の重要性や情報の取り扱いに対する認識などについて、意識向上のための教育を実施する必要があります。
今回の場合であれば、院外に持ち出すこともある、自分の財布にUSBメモリーを保管するという感覚から、取り扱う情報のリスク認識が薄かったのではないでしょうか。

情報セキュリティの意識向上,教育及び訓練
組織のすべての従業員,並びに,組織の活動に関係する契約相手及び第三者の利用者は,職務に関連する組織の方針及び手順についての適切な意識向上のための教育・訓練を受けなければならない。また,定めに従ってそれを更新しなければならない。

「組織の情報は、大事な資産」…忘れていませんか?
今回のトラブル発生後、同病院々長は「日頃より職員に対して患者の個人情報の取り扱いに十分注意するよう指導してきた」とコメントしていますが、職員の一連の行動からは、残念ながら伝わっていなかったようです。
近年、企業におけるセキュリティ関連のトラブルは低下していますが、内部要因によるトラブルは増加傾向にあるといいます。特にノートパソコンや携帯記憶媒体(USBメモリーなど)の盗難・紛失が発生する企業の割合が増加しているという結果が出ています。(経済産業省 2007年11月発表「2005年度 情報処理実態調査」より)
私は、記憶媒体の紛失が増えている原因の一つに、情報を私物化しているという傾向があるのではないかと考えます。重要で莫大な情報も簡単に記憶できるという特性であることも少なからず影響し、安易に情報を取り扱う行動につながってしまうような気がします。
組織においては、情報を取り扱うすべての人が、情報管理について正しい知識を持ち、自分の業務に関連するリスクを認識していること。そして適正なモラルを持っていることなどが特に重要と考えます。
そのためにも、組織の役割として、情報管理のルールを周知・徹底することはもちろんですが、情報が漏れた場合、具体的にどのような損失が組織にもたらされるのかなども含めた教育を繰り返し行うことが必要ではないでしょうか。

  • このエントリーをはてなブックマークに追加
  • follow us in feedly
PAGE TOP