神戸の市立病院で、患者160人分の個人情報が詰まったパソコンが盗まれたって、そもそもなぜ盗まれるのよ?って話。

神戸の市立病院で、患者160人分の個人情報が詰まったパソコンが盗まれたって、そもそもなぜ盗まれるのよ?って話。

本日の神戸新聞NEXTのニュースでこんな話題が飛び込んできました。

 

 www.kobe-np.co.jp 
神戸新聞NEXT|事件・事故|中央市民病院の医師 患者データ入りPC盗まれる
https://www.kobe-np.co.jp/news/jiken/201803/0011041680.shtml
 神戸市立医療センター中央市民病院は5日、20代の男性医師が、患者160人分の名前や年齢、一部は既往症などのデータが入った業務用ノートパソコンを盗まれたと発表した。

端的にいうと、

神戸市立医療センター中央市民病院に勤務する20代の若手医師が、業務用パソコンを無断で持ち出し、かつ食事中に車の中にそのパソコンを放置し、見事に車上荒らしに遭ってそのパソコンを盗まれた。そしてそのパソコンには、患者160人分の個人情報(既往症などを含むデータもあり)が保存されている。

という、おいおいどうした?というような馬鹿馬鹿しい話。

こういった類のニュースは定期的に報道されますが、どうしてこうも個人情報の管理が杜撰なのか、耳を疑ってしまいます。いまや、どんな業種であれ、入社時に個人情報保護研修なるものが行なわれるが、病院ではそういったことはいないのだろうか。

やはり、医師として人命を守る事が第一であり(まぁたしかにそうだと思うが)、その守るべき人の個人情報はどうでもいいというふうに思っていなければ、このようなことは起こり得ないはず。

そもそも、なぜこの医師は端末を院外に持ち出すことができたのか?

神戸市立医療センター中央市民病院では、内規によって個人情報の含まれる業務端末を持ち出すことは禁止されているらしい。しかし、当人は片付けるのを怠り、外に持ち出したとのことだが、「怠る」というのは2つの考え方ができる。

一つ目は、「持ち出してはいけない」という注意を怠ってしまったこと。つまり、ついうっかり持ち出してしまったということだ。

そして二つ目は、「自分の机に戻す」ということを怠った場合。この場合、持ち出してはいけないという注意を認識しながら、面倒だからとか、急いでいるからという理由で戻すことを怠けたことになる。

どっちであろうと大問題に変わりはないが、後者の場合は流石にやばい。

彼に限らず、普段から色んな人が自分の机に戻すことを怠っていた事例があるからこそ、彼自身も「めんどう」という理由で、意図的に持ち出すことができたとしか考えられない。

20代のペーペー勤務医が、だれもやったことのない超重要端末を、意図的に持ち出すなんてことは考えにくい。

そうすると、ついうっかり持ち出してしまったか、普段からみんな同じことをやっているかのどちらかなんじゃないかなと考えてしまう。

つまり、起こるべくして起こった事件としかいいようがありません。

 

ついうっかりだったら許されるのか?

では、前者のついうっかり持ち出してしまった結果、このようなことになってしまいました。で済むのかというとそうでもない。

ついうっかり持ち出せてしまうということは、内規で持ち出しては駄目と決まっている割には、そういったところの管理が甘く、その内規自体が形骸化してしまっています。

仕事上で付き合いのある企業の話になりますが、個人情報を大量に取り扱う企業。業務端末は基本的に移動がしづらいデスクトップとなっているが、一部の役職者には必要に応じてノートPCが支給されています。

その企業では、端末にチップがつけられており、特定のエリアから出ようとすると管理者にアラートが鳴り、すぐに使用者の携帯電話に連絡を取るようになっている。

どのような事情があろうとも(たとえ業務命令の出張などでも)、外に持ち出せるのは外出用の端末のみとなり、必要なデータは上席者監視の元で社内サーバーにアップし、外出先からはそのサーバーに、パスワードとメール認証による二段階認証を得てアクセスし、サーバー内のみでの閲覧となり、ローカルへ保存することもできなくなっている。

この病院が盗まれた個人情報は、氏名住所だけでなく、一部にはその個人の既往症まで残っているというし、それがなくとも、その人物がその病院に通院した履歴があるということがわかる、超デリケートな情報。

この某企業並のセキュリティ管理が有ってしかるべきと思うのは僕だけでしょうか。

 

車上荒らしの犯人の目的を考える

完全に僕の偏見になるのですが、車上荒らしをしてパソコンを盗むやつ自体は、そのパソコンに入っている個人情報を悪用できるほどの知能はないと思う。

おそらく当の本人は起動パスワードすら看破できないだろう。それができるなら車上荒らしなんてせずに、それ相応の仕事についているだろうから。

ただ、この犯人が盗んだパソコンが専門業者に高く売れるということを知っている場合は厄介。最初から個人情報を目的にした大元が、車上らしのチームを使ってパソコンを狙っている場合。

こうなると、どこかでそのパソコンのデータをきれいに抜き取られる可能性もあるかもしれません。

すでに端末は犯人の元にあるわけだから、この際前者のような行き当たりばったりの車上荒らしであったことを願うしかありません。

 

大切な個人情報を守るために

僕自身がサラリーマンとして営業をやっていたときは、会社から支給されたノートPCを持ち歩いていました。とくに火曜日から金曜日まで出張が基本だったため、持ち運ばずには仕事もできない状況。

万が一盗難された場合は、会社に連絡し、その時点で自分のID・パスワードを失効させるようになっていました。

当然、社内にパソコンを置きっぱなしにするのはご法度。ホテル内であれば、パソコンを置いたまま外出は許されてはいたが、それ以外のときは常にカバンにいれて、そのカバンを持ち歩いていました。

今回の事件で、病院はもとより、彼個人も相当なダメージを負っています。それは、時間的なこともあるし、将来を考えたときの金銭的な点でもそうかもしれません。

もしそれがノートパソコンではなく現金100万円だったら、同じように車に放置したまま飯食べに行きますか?