2015年06月05日
個人情報の漏洩
先日公表された「年金情報漏れ」は大問題になっています。日本年金機構がもつ125万人もの個人情報が、何者かによって盗まれたというものです。
毎日ニュースで大きく取り上げられています。まだ詳細はあきらかにされていませんが、どうみても機構の体制や対応がおかしいです。
こんないいかげんな仕事をしているのかと思うと、怒りがこみあげてきます。
ハッカーによる攻撃によって簡単に情報漏洩がおきてしまいました。不正な添付ファイルを不用意に開けてしまったのがそのきっかけですが、その職員の責はあまり問えないように思います。外部との連絡をするのは通常の仕事ですから(メールのやりとりもその一つ)。
問題は、ハッキングされたパソコンから個人情報にアクセスすることができたこと。個人情報を扱うネットにつながっていたなんて、ありえません。さらにそのパソコン自体に個人情報が入っていたという報道もあります。
悪意のある輩は存在します。それをなくすことはできません。であれば、ハッキングされた時に、情報漏洩がおきない仕組みを作っておくことが必要。
その手立ては簡単です。外部につながるパソコンで個人情報は扱わないことです。パソコン自体にも個人情報をもたせず、さらに個人情報を扱うネットにもアクセスできない。それだけのことで、個人情報は守られます。(部内に悪意のある人がいれば別ですが)
話は変わりますが、私たちの医療機関でも同じ問題を抱えています。日々の診療記録は重要な個人情報であり、しっかり守られなければいけません。紙のカルテでは物理的に盗まれないようにする対策が必要ですが、もし漏れたとしてもその情報は限定的でしょう。
ところが電子カルテのシステムは、もし漏洩がおきてしまうと情報量は膨大ですし、被害も深刻です。あってはならないことです。
当院でも6年ほど前から電子カルテを採用していますが、この点のセキュリティー対策は強固です。現在8台のパソコンを端末として使っていますが、そのどれも院外につながっていません。完全に独立した院内のLANを構成しています。
院内にはインターネットにつながるネットワークがもう1系統ありますが、そちらからは電子カルテのシステムには入り込めません。仮にハッカーが当院のパソコンに向けて攻撃をしてきても、外部につながってパソコンがダウンしたり、不正な動きをすることはあっても、患者さんの個人情報が漏れることは起こりえない状態になっています。
ある意味で単純で、そして完璧に近い対策は、何も当院だけではありません。厚生労働省の指導により、すべての電子カルテのシステムに求められています。おそらくほとんどの電子カルテを採用している医療機関は、そうしていることでしょう。
今回問題になっている日本年金機構は厚生労働省が所管する団体です(以前は社会保険庁という下部組織でした)。私たちに課しているルールを、どうして日本年金機構には守らせなかったのでしょう。問題が起きればその影響が計り知れないほど大規模で、深刻なものになることは想像できたはずなのに。
1台のパソコンがハッキングされたあとの対応もまずいですね。そのパソコンをネットワークから切り離したけれど(ケーブルを抜いただけですが)、他にも同じような被害がでているパソコンがいるはずという視点はなかったようです。職員に不審なメールに注意しろと連絡しただけで、機構内のパソコンの全てをネットから切り離したりすることはすぐにはしませんでした。それが事態の深刻さを増すことにつながりました。
全くあきれます。こんな程度の仕事しかしていなかったんですね。年金について、その重要性を理解しているのでしょうか。
この事件のあと始末で使う予算も、年金の一部や税金が使われます。必要な対策をしていれば起こりえなかったはずなのに。その責任をどうとるのでしょうか。
これを機に、年金機構がきちんとした組織になり、しっかりとしたセキュリティーが構築されることを願うのみです。でも・・あまり期待は持てないような気もしていますが。
投稿者 tsukada : 2015年06月05日 23:20