聖マリアンナ医科大学病院、閲覧設定不備により個人情報が閲覧可能状態

会社名 聖マリアンナ医科大学病院
株式情報 非上場
漏洩種別 流出
漏洩対象 web
漏洩場所 社外
漏洩内容 氏名/メールアドレス
漏洩件数 18件
漏洩日時 2019/11/3~2020/12/20
発表日時 2021/2/1

聖マリアンナ医科大学病院にて、閲覧設定不備により個人情報が閲覧可能状態。同院救命救急センター所属の看護師が、業務連絡のためにプライベートのGoogleアカウントを用いて自主的に開設していた「Googleグループ」の閲覧設定が、「ウェブ上のすべてのユーザー」に公開されるようになっており、同グループ上で遣り取りされていた業務連絡メールや同院の患者や医療従事者、関係者など、本来、公開が予定されていない情報がインターネット上で第三者により閲覧可能な状態となっていた。

外部から総務部にメールがあり、当該グループが公開状態となっている旨の指摘があり、閲覧設定を確認したところ一般に公開される状態となっていることが判明し、直ちに非公開に変更するとともに、使用を停止した。調査を行ったところ、閲覧可能であった278通のメールに同院医療従事者、同院関係者の姓やメールアドレスに加え、患者5名の姓と患者らに関する断片的な情報がメール本文に記載されていた。

また、一部の診療科にてAI問診アプリを導入し、同アプリを通じて、外来患者から問診情報を収集するサービスを提供していたが、メール文の中に、本件サービスのシステムにアクセスするために必要なURL、パスワード、QRコードが記載されているものが含まれており、当該メールを閲覧した第三者が、URLをクリックまたはQRコードを読み取り、パスワードを入力して本件サービスのシステムにアクセスした場合、収集された患者の問診情報を閲覧することが可能な状態となっており、アクセスログを確認したところ、院外から本件サービスのシステムへのアクセスが1件あったことが確認されたが、閲覧された可能性のある情報は、本件サービスのテストのために作成した架空の模擬患者の症例であった。

また、Googleアカウント上でクラウドストレージ「Googleドライブ」も利用しており、当該アカウントのメールアドレスとパスワードが記載されているメールが残っていたため、当該メールを閲覧した第三者が、アカウント情報を用いて本件ドライブにアクセスすることが可能な状態となっていたことが判明。本件ドライブには、氏名、当院患者ID、年齢、診療情報が漏洩した可能性がある患者が13名存在している。アクセスログを調査の結果、院外からのアクセスが1件確認されているが、悪用等は現時点で確認されていない。「オンラインストレージ利用に関するガイドライン」では、患者の個人情報を、当院の管理下にない外部のクラウドストレージサービスに保存することは禁止されていたが、守られていなかった。

同院は、閲覧設定が「ウェブ上のすべてのユーザー」に公開される設定になっていたことが原因であるが、本グループは、グループメンバーである全ての看護師が設定画面にアクセスし、設定変更をなし得る状況にあったことに加え、意図的に閲覧設定を変更したとする者も確認できなかったことから、設定の変更がいつの時点でなされたのか、変更がいかなる理由によるものなのか、実際に設定を変更した者は誰か、といった点を特定するには至らず、グループメンバーを追加変更する際に、誤操作により意図せずに「ウェブ上のすべてのユーザー」に公開される設定となってしまった可能性が高いものと考えている。また、管理が及ばないプライベートのGoogleアカウントを用いて、自主的に本件グループを開設し、業務上の情報をメールで遣り取りしたこと、本件グループの管理者が特定人に限定されておらず、設定についての責任の所在が不明確であったこと、メンバーであれば誰でも設定を変更することができ、誤操作による設定ミスが生じやすい状態となっていたこと、患者の個人情報が含まれる資料データを外部ストレージにアップロードするという、同学ガイドラインに抵触する行為がなされていたことを原因としている。

同院は当該患者に対し、文書にて本件の説明と謝罪を行い、情報管理の重要性について、改めて職員全体の認識を徹底させるとともに、再発防止に努めるとしている。