・国立病院機構の病院におけるHDDの破砕処理の不備と情報流出の発生
・ガイダンスに基づく記録装置内の個人データの復元不可能な形での消去義務
・委託先からの破棄に関する証明書や証跡提供の義務付けによる確実な抹消確認
・委託契約締結前における廃棄手順や再委託内容の事前確認と契約への明記
国立病院機構での流出事案と注意喚起の背景
6月8日、厚生労働省は情報機器を廃棄する際の個人情報漏えいに関する注意喚起を発出しました。
国立病院機構が運営する病院にて、記録媒体(ハードディスク)を廃棄する際に、適切に破砕処理が行われないまま、ハードディスク内部に保存されていた個人情報が流出する事案が発生しました。今回は、廃棄物処理業者に廃棄を依頼したものの、適切に処理されていなかった事例となっています。
この事案を受け、情報機器を廃棄する際の注意事項について整理されています。
ガイダンスおよび安全管理ガイドラインの規定
厚生労働省による「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」では、
・個人データを取り扱った情報機器を廃棄する場合は、記録装置内の個人データを復元不可能な形に消去して廃棄すること
・廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定めること
・再委託を予定している場合は、個人情報を適切に取り扱っている事業者が選定されることと、再委託先事業者が個人情報を適切に取り扱っていることが確認できるよう契約において配慮すること
とされています。
また、「医療情報システムの安全管理に関するガイドライン第6.0版」では、情報機器の廃棄を外部の事業者に委託する場合、「委託先の事業者から破棄に関する証明や証跡の提供などを求めて、確認すること」とされています。
医療機関等に求められる具体的な対応策
これらを踏まえて、主に次の対応が求められます。
(1) 情報機器の廃棄時に、医療機関担当者による立ち会いや、すべての機器が破壊された写真やソフトウェア消去のログ提出などを求め、確実に抹消されたことを確認すること
(2) 委託契約の前に、委託先事業者のホームページや、現地での廃棄手順、再委託の内容などを確認し、適切に廃棄が行われているか確認すること
(3) 委託契約にてハードディスクなどの記録媒体を含めた情報機器の廃棄について明確に合意すること
情報機器を廃棄する際は、単に事業者に処理を委託するだけではなく、完了まで適切に確認・管理することが重要です。
