電子カルテの情報漏洩の原因は? 被害者が求められる損害賠償
患者情報を管理するカルテは、保管や情報共有をしやすくするなどの目的で、電子化が進んでいます。データヘルス改革の一環として、電子カルテの情報を全国で共有可能とすることが目指されている反面、しっかりとした情報漏洩への対策も必要です。
本記事では、電子カルテの情報が漏洩する原因や、漏洩時の対応方法を解説します。
1. 電子カルテで起こる情報漏洩の原因
株式会社東京商工リサーチが上場会社とその子会社を対象に行った調査によれば、2022年までに漏洩した個人情報の累計は1億2500万人分に上り、情報漏洩の事故件数は年々上昇傾向です。
(参考:「2022年「上場企業の個人情報漏えい・紛失事故」調査」(東京商工リサーチ))
電子カルテは、疾病を始めとする個人情報が詰まったデータであり、企業が扱う情報と同様に流出や漏洩のリスクがあります。情報漏洩被害への対応を知る前提として、ここでは電子カルテの情報が漏洩する主な原因を、外的要因と内部要因に分けて紹介します。
(1)外的要因
外的要因、すなわち院外の関係者や攻撃者による情報漏洩は、「外部事業者によるもの」と「サイバー攻撃によるもの」に分けられます。
- 外部事業者によるミスや不正
委託先事業者の情報紛失・設定ミス、秘密情報や個人情報の持ち出し - 外部からのサイバー攻撃
WEBサイト経由の攻撃、保守端末やクラウドサービス経由の攻撃、メール攻撃
(2)内部要因
内部要因、すなわち院内の職員による情報漏洩は、「意図しないミス」と「故意での不正」に分けられます。
- 職員によるミス
USBや端末の紛失・誤った接続、メールの誤送信、ファイルアップロードミス - 職員による不正
リテラシー欠如によるコミュニケーションアプリやSNSなどへの投稿、悪意がある流出・閲覧、持ち出し
2. 電子カルテの情報漏洩被害に遭ったらとるべき対応
電子カルテから情報が漏洩したことが判明した場合、被害者がとるべき対応は、情報を漏洩させた病院への説明要求と責任追及、そして二次被害防止の対策です。
(1)病院側に説明を求める
情報が漏洩した事実を確認したうえで、病院側に説明を求めましょう。要求する説明項目としては、
- 漏洩した内容と漏洩先
- 発生の原因
- 病院側が予定する二次被害の防止策
- 被害者に対する今後の対応や補償
が挙げられます。これらの項目について説明を受けることで、被害状況を適切に理解でき、被害者自身による二次被害防止の対策も行いやすくなります。
なお、説明が不十分であった場合は、認定個人情報保護団体に相談するのも手です。これは個人情報を適正に取り扱うことを目的とする、個人情報保護委員会が認定する団体で、医療関係では「全日本病院協会」や「日本病院会」などがあります。こうした団体への相談により、助言や調査などの対応を受けられます。
(参考:「認定個人情報保護団体の認定状況」(厚生労働省))
(2)二次被害を防ぐための対策
情報の漏洩そのものを一次被害とすると、漏洩した情報を悪用した不正アクセス被害などは二次被害と捉えられます。二次被害を防ぐには、以下のような対策が必要です。
- ネット銀行など、利用中のサービスのID・パスワードの変更
- クレジットカードやポイントカードなどの利用履歴の確認、カード会社への連絡
- 不審な購入履歴などがあった場合、利用の停止や返金の要求
- パソコンやスマートフォンなどのセキュリティー確認、セキュリティーアプリなどの導入
不正購入などの二次被害が生じてしまうと、被害回復に手間や時間がかかります。情報の漏洩が判明した時点で、速やかに対処しましょう。
3. 情報漏洩被害で病院に求められる損害賠償
電子カルテからの情報漏洩が生じた場合、病院側には刑事責任と民事責任が別個に生じます。刑事責任とは、いわゆる犯罪に対する刑罰のことで、民事責任とは被害者への損害賠償責任などです。
(1)刑事責任
電子カルテの情報漏洩で病院側に問える罪
①秘密漏示罪
医師が職業上知った患者の秘密を漏洩した場合、刑法第134条に規定される秘密漏示罪が成立する可能性があります。罰則は6月以下の懲役か10万円以下の罰金です。
他方、情報を漏洩したのが看護師の場合には、秘密漏示罪ではなく保健師助産師看護師法の違反となりますが、罰則は秘密漏示罪と同様です。
②不正アクセス禁止法
医師・看護師を問わず、閲覧権限のない者が不正に電子カルテを閲覧した場合、不正アクセス禁止法違反となる可能性があります。罰則は3年以下の懲役か100万円以下の罰金です。
③個人情報保護関連法
電子カルテに記載された情報は個人情報であるため、不正な収集や第三者への提供は個人情報保護法などに違反する可能性があります。個人情報保護法に違反する情報の提供だと、罰則は1年以下の懲役か50万円以下の罰金です。
(2)民事責任
病院への損害賠償請求は弁護士に相談を
個人情報の漏洩は民法上の不法行為に該当し、被害者は病院へ損害賠償を請求できます。ただし、損害賠償を求めるには、加害者側の故意または過失であることや、情報漏洩による損害の発生状況といった根拠を裁判で示す必要があります。そして、損害額は、漏洩の態様、漏洩した情報の内容や性質(どのような個人情報なのかなど)、情報が転々流通する可能性、二次被害の有無などが考慮されます。
また、裁判を起こさず示談に応じる場合にも、病院側の責任者または代理の弁護士を相手に交渉する必要があります。これらの対応は個人では難しいため、弁護士へ相談することをおすすめします。
電子カルテからの情報漏洩が生じた場合、まずは被害状況の確認と被害拡大の防止が大切です。損害が生じたのであれば、弁護士への相談も検討しましょう。
- こちらに掲載されている情報は、2023年10月11日時点の情報です。最新の情報と異なる場合がありますので、あらかじめご了承ください。
お一人で悩まず、まずはご相談ください
医療・介護問題に強い弁護士に、あなたの悩みを相談してみませんか?