医療機関における個人情報の取り扱いは、一般企業以上に厳格さが求められます。診療録や検査結果、患者属性などは、ひとたび外部に流出すれば取り返しがつきにくく、本人のプライバシー侵害にとどまらず、なりすまし、詐欺、差別、精神的被害といった二次被害へと連鎖する可能性があります。今回、松下記念病院で患者情報を保存したUSBメモリの紛失が公表されたことは、医療現場に残る「可搬媒体(リムーバブルメディア)」リスクを改めて浮き彫りにしました。
何が起きたのか:紛失の本質は「持ち出し可能な設計」
報道によれば、病院が患者情報を保存したUSBメモリを紛失し、現時点で漏えいは確認していないとしています。ここで重要なのは、「漏えいが確認されていない」ことと「漏えいしていない」ことは同義ではない点です。USBメモリは小型で持ち運びが容易な反面、紛失・盗難の発生確率が高く、さらに外部に接続して中身を閲覧できる構造になりがちです。暗号化やアクセス制御が不十分であれば、発見者が善意であっても、第三者の手に渡る過程で不正アクセスの温床になり得ます。
また医療機関では、院内ネットワークの制約、ベンダー保守の都合、部門ごとのデータ運用の違いなどから、データの「一時的な移送」にUSBが使われやすい環境が残りがちです。つまり今回の事案は、単なる物理的な紛失にとどまらず、USBに依存せざるを得ない業務設計や統制の弱さが背景にある可能性を示唆します。
医療情報が漏えいした場合のインパクト
医療情報は、氏名や住所などの基本情報に加え、受診科、病名、処方、検査値、画像、既往歴といったセンシティブ情報を含むことが多く、個人情報の中でも影響の大きい領域です。漏えいが起きれば、患者への通知・相談窓口設置・調査費用・再発防止策の導入など直接コストが発生します。さらに信頼の低下は、地域医療の継続性や人材確保にも影響し、病院経営上の長期的リスクとなります。
加えて、医療機関は委託先(検査会社、医事会計、システム保守など)とのデータ連携も多く、ひとつの事故がサプライチェーン上の信用不安に波及します。だからこそ、紛失が判明した段階での初動の質と、平時の統制設計が極めて重要です。
「漏えい未確認」でも必要な対応:初動で差がつく
USB紛失時の初動は、技術的・事務的に同時進行で行う必要があります。ポイントは以下です。
所在の特定と時系列の確定:いつ、誰が、どの端末で、どのデータを、どの目的でUSBへ保存し、最後に確認したのはいつか。監査ログや入退室、端末利用記録を含めて整理します。
USBのセキュリティ状態の確認:暗号化の有無、パスワード強度、オートラン設定、データの最小化(必要な範囲に絞れていたか)を確認します。
影響範囲の特定:含まれる情報の種類(患者数、項目、期間)を確定し、患者・関係者への説明方針を準備します。
外部連携:警察への相談、監督官庁や関連ガイドラインに沿った報告、委託先やグループ組織との情報共有を行います。
「漏えいが確認できない」状況では、事実を過不足なく説明しつつ、リスク評価と再発防止策を具体化することが、信頼維持の鍵になります。医療機関に求められるのは“隠さない”姿勢と、検証可能な管理の仕組みです。
再発防止の中核:USBを“使えなくする”のではなく“統制する”
理想はUSBを使わない設計ですが、医療現場では段階的な移行が現実的です。重要なのは、例外運用を前提にした統制です。
可搬媒体の原則禁止と例外申請
業務上どうしても必要な場合のみ、責任者承認・利用目的・保存期間・持ち出し経路を明記した例外申請を必須化します。例外を「運用の常態」にしないため、利用実績を定期レビューし、代替手段(セキュア転送、共有領域、VDIなど)への置き換え計画とセットで管理します。
暗号化とデバイス制御(DLP/EDR/端末制御)
USBを許可するなら、強制暗号化と認証付きデバイス(管理対象のUSBのみ利用可能)を基本にします。端末側は、未承認USBをブロックし、ファイルコピーのログを取得し、異常な持ち出しを検知できる仕組みが望まれます。さらにEDRで不審操作を監視し、情報持ち出しの兆候検知につなげます。
データ最小化と期限付き運用
「必要な患者だけ」「必要な項目だけ」に絞る設計が極めて重要です。加えて、USBに保存するデータは可能な限り期限付きとし、利用後の削除・返却・破棄をチェックリストで担保します。削除も“見た目の削除”ではなく、暗号化領域の鍵管理や、手順に基づく消去を徹底すべきです。
物理管理:持ち出し台帳だけでは不十分
台帳管理は最低限として、保管庫の施錠、持ち出し時の二者確認、院外持ち出しの原則禁止、移送時の封緘、紛失時の連絡ルート明確化が必要です。特に夜間・休日の運用は盲点になりやすく、シフト勤務を前提としたルール整備が欠かせません。
教育と文化:ヒューマンエラーを“責めない”仕組みへ
USB紛失は、個人の不注意だけで片付けると再発します。医療現場は多忙で、突発対応も多く、手順逸脱が起こりやすい環境です。だからこそ、現場の負荷を理解したうえで、守れるルールに落とし込む必要があります。
短時間で理解できる教育:年1回の研修だけでなく、部門別に「よくある持ち出し場面」を題材にした小単位の訓練が有効です。
インシデント報告の心理的安全性:紛失に気付いたらすぐ報告できる文化を作ることが被害最小化につながります。
実地監査:規程の整備だけではなく、現場で本当に運用されているかを点検し、手順が形骸化していないか確認します。
医療DX時代の現実解:安全な共有・転送の標準化
USBの代替としては、アクセス制御されたファイル共有、セキュアなオンラインストレージ、閉域網での転送、仮想デスクトップ(VDI)やゼロトラスト型のアクセス基盤などが候補です。ただし「ツール導入」だけでは不十分で、データ分類(機微度)、権限設計、ログ監査、委託先を含む運用設計が揃って初めて効果を発揮します。
また医療情報は、可用性(止められない)と機密性(漏らせない)を同時に求められます。利便性のためにUSBを許し続けるのではなく、診療現場の継続性を保ちながら、安全なデータ流通を標準化することが、今後の医療DXにおける重要課題です。
まとめ:再発防止は「持ち出し前提」をやめる設計から
今回のUSBメモリ紛失事案は、医療機関に残る可搬媒体依存のリスクと、統制の難しさを示しました。漏えいが確認されていない段階でも、影響範囲の特定、セキュリティ状態の検証、透明性ある説明、そして再発防止策の具体化が不可欠です。医療の信頼は一朝一夕では築けません。患者情報を守るために、USBを「便利だから使う」から「例外として厳格に統制する」、そして最終的に「持ち出しを前提としない」運用へ移行することが、現実的かつ効果的な道筋となります。