広島大学 大学院生が広島大学病院の患者データをWinnyで流出
広島大学において、
同大学院生が自宅の個人用パソコンから広島大学病院並びに広島赤十字・原爆病院の患者情報が流出したことを発表しました。
ファイル交換ソフトWinnyを介したウイルス感染による流出のようです。
(広島大学/2007.11.16)(一部抜粋)広島大学大学院医歯薬学総合研究科の大学院生が、自宅で使用していた個人用のパソコンから本院並びに広島赤十字・原爆病院の保有する患者情報が流出したことが判明いたしました。
このことについての経緯等について、下記のとおり調査結果をご報告させていただきます。
患者さんを始め、関係の皆様には多大なご迷惑とご心配をお掛けしたことを、深くお詫び申し上げます。
今後は、この様なことがないように、全学生及び教職員を上げて再発防止に取り組む所存であります。//流出した患者情報//
(1)病歴要約(患者ID、氏名、生年月日、年齢、性別、職業、住所、電話番号、病名、入院歴、入退院年月日、主治医、指導医等)
110名分(2)紹介状(紹介先、氏名、年齢、病名、病歴、退院時処方等)
4名分(3)病歴要約及び紹介状
13名分//原因//
本学では、大学の情報(特に患者等の個人情報)の学外持ち出しを禁止しておりますが、該当学生が以前本院の研修医であった時期に患者さんの個人情報に基づき、自宅で作成した資料を保存していたパソコンに、ファイル交換ソフトをインストールし利用していたため、ウィルス感染により流出したものです。なお、ウィルス対策ソフトも使用していたが、その設定が不十分であったため、感染したものと思われます。
対応の経過なども詳細に公表されております。
(広島大学/2007.11.16)(一部抜粋)//経 過//
10月23日(火)
病院運営支援部に本院内部情報が、ファイル交換ソフトを介して、インターネット上に流出しているとの情報が外部から寄せられたため、病院において内部調査を開始し、以後調査を継続した。11月 2日(金)
継続調査により、該当者が浮上(大学院医歯薬学総合研究科大学院生)したため、該当者自宅に出向き、個人用パソコンでのファイル交換ソフト(Winny)使用を確認し、該当パソコンを持ち帰り病院の管理下に置いた。11月 5日(月)
法人本部の担当者による該当パソコンの調査を開始し、同時にインターネット上に流れている情報の入手に着手した。その時点で、パソコン内ファイルに本院患者情報が存在することを一部確認したため、このパソコンから流出の可能性は高いが確証は得られなかった。11月 6日(火)
患者情報流出(疑い)調査委員会を開催した。(病院長、医歯薬学総合研究科長、副病院長(管理・運営担当)、医歯薬学総合研究科支援室長、法人本部担当者)
委員会では、学生の個人用パソコンから流出した可能性が高いため、早急に該当学生から事情聴取を行うとともに、パソコン内全ファイル及びメールをチェックし、患者個人情報の確認を行い、インターネット上への流出情報との突合作業が終わった段階で、該当患者さんにお詫び状を送付し、届いた頃を見計らって報道発表を行う方針とした。
該当学生からの聴取では、種々の質疑を行った。学生は客観情勢から自分のパソコンから流出した可能性が高いことへの異論は示さなかった。ただ、ウィルス対策ソフトを使用していたため、今回発覚するまで、情報流出に関する認識は持っていなかった。11月 7日(水)
インターネット上の流出情報が確認でき、その内容が該当パソコンのファイルと一致した。学生の確認も得て、この時点で本院情報が該当パソコンを介して流出したことが確定した。その後は、ファイルの個人情報確認作業を継続した。11月 8日(木)
調査の過程で、パソコンがウィルス感染したのが平成18年9月30日(土)であり、約1年以上前から情報が流出していたことが判明した。11月 9日(金)
流出ファイルに広島赤十字・原爆病院の患者情報も含まれていることが判明したため、そのデータ内容を取り敢えず広島赤十字・原爆病院に連絡した。11月13日(火)
本院及び広島赤十字・原爆病院の流出患者情報の確認作業が完了した。
第2回調査委員会を開催し、上記経緯を確認するとともに、該当患者さんへのお詫び状送付作業を開始し、お詫び状が患者さんに確実に届くであろう時点、16日(金)午後に報道発表を行うことを決定した。なお、本院では11月16日(金)正午の段階で、本件個人情報の内容が他に利用されたという情報は入手しておりません。