北海道医療センター・北海道がんセンターで、患者の個人情報を含むHDDが外部に流通。廃棄処理業者が破砕せず

　独立行政法人国立病院機構が運営する北海道医療センターと北海道がんセンターは6月8日、廃棄の過程で破砕されるべきHDDが適切に処理されないまま外部に流通し、個人情報が漏えいした可能性があると発表した。

　発表によると、両病院は、電子カルテの更新に伴い、旧来使用していた端末を外部の廃棄処理業者に委託して処分していた。その際、端末に内蔵されていたハードディスクは破砕処分するよう業者に委託していたが、HDDの一部が適切に破砕されないまま外部に流通していたことが判明した。

　両センターでは当該のHDDを回収した（外部に流通した全数は明らかでない）が、回収したHDDに、北海道医療センターではのべ176万件（実数17万人）、北海道がんセンターではのべ25000件（実数8800人）の患者の個人情報が記録されていたという。

　患者の個人情報が外部に接触した可能性を否定できないことから、本件を公表するとともに、対象となる患者へ個別の連絡を行っている。漏えいした可能性がある個人情報は次の内容だが、人により内容は異なり全ての項目が全ての人に当てはまるとは限らない。なお、マイナンバー、銀行口座番号、クレジットカード番号などの情報は含まれていないとしている。

• 氏名、患者番号、生年月日、住所、電話番号
• 診療日、診療科、入院に関する情報
• 病名、検査結果、アレルギー情報、看護記録の一部　など

　情報が漏えいした可能性のある対象者には個別に連絡を行っている。発表時点では、漏えいした情報の不正利用などは確認されていないという。

　再発防止策として、両センターは個人情報を含む記録媒体について、院内で確実に物理的破壊を行うことを原則とする。さらに、廃棄工程では複数人による確認を必須化し、外部委託を行う場合も委託先選定・管理体制の厳格化を行うとしている。