都合で決まる個人情報の定義

今日の夕刊に気になった記事が2つあった。

いずれも医療機関での出来事。

1つは、個人情報だから開示できないって記事。記事の内容は、日経の夕刊を見ていただきたい。私がここで書けるような話ではなく、本当にひどい話だ。医療事故に関する記事だった。読んでいて怒りがこみ上げるような内容だった。

2つ目は、院内から個人情報の入ったPCが盗難されたって記事。どれほど厳重に管理していたのか不明だが、私の知る限りずさんな管理をしている”場所”は多くある。ここがそうだったのかわからないが、結果として盗難にあった。仮に盗難に遭っても物理的なハードウェアとしてのPCならば、また買えばいいだけ。しかし、患者の情報が入った状態にあったことを考えれば、管理体制が出来ていたか?非常に疑問である。

シンクライアントのような端末であれば、中身までは持って行くことは出来ない。集中的に管理された情報センターの情報が盗まれたのであれば、話は変わる。それでも管理体制に問題は出てくるが、問題が激減することは明白である。

人の出入りが多く、施錠もしてなければ持って行かれて当たり前。しつこいようだが、PCだけなら買えばいい。中身にどれほどのデータが入ったものを使っているのか?よくよく考えなければ、使う資格はない。

1つ目の医療事故に関する内容は病院側の都合で”個人情報だから開示できない”って話だ。列車事故があった時の病院側の対応で個人情報を開示出来ないって話もあった。これも様々な意見はあるが、個人情報の開示に関する同じことであっても、今回のケースとは若干違うように思える。

今回のケースでは、単純に病院側の勝手な自己都合により”個人情報の開示を拒否した”問題だ。都合の悪い話は、個人情報だから・・・って開示を拒んで良いのだろうか?誰を中心に考えているのか?医療機関にとって大切なことは、お客様である患者に健康にならずに病気になってもらい、またのご来院をお待ちしています!なのだろうか?

2つ目のケースでは、盗難を回避できるだけのセキュリティ対策が本当にされていたのだろうか?

このケースに限らず、回避できるだけのセキュリティ対策に上限はない。扱っている中身をよくよく考えれば、方法はいくらでもあったはずだ。この管理をしていたのは番犬でもなく人間なのだから・・・

この管理をしていた人の病院が持っているような情報が盗難されたPCに入っていたらどうだろうか?

自分の個人情報を超えた、自分の医療情報が入ったものであれば管理方法もかわっていたはずだ。

自分に関係のない、仕事で使う情報って見方をしていたとしか思えない。医療機関に限らず個人情報でも企業の機密情報でも、自分に関係ないとこうなってしまうのだろうか?

結局、都合が悪いと”個人情報だから・・・”と拒否し、管理体制がどんな状態であっても、盗難に遭いました!って都合のいい話はあるのだろうか?って、実際にあったから書いている。

こんな事件は今までもあったのだろう。ここ数年は何でも報告さえすれば良い風潮になってきている。

盗難・・・紛失・・・

医療機関に限らず、行政機関においても同じことだし、民間企業であっても同じこと。

その中に自分自身の情報が含まれていても、個人情報の定義は都合で決まるのでしょうか?

はっきり言えば定義なんてどうでもいい話で、もっとするべきことってあるんじゃないか?と思うのだ。

こういう話は、勝手に都合だけで決めてはイケナイことを関係者の方々は肝に銘じていただきたい。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。