病歴情報をネットに「放置」…メール共有範囲を誤設定、聖マリ医大病院など複数施設

またGoogleのサービスで共有範囲の誤設定か。クラウドは正しく使うことによって効果的に利用できるので、「クラウドは危ない」みたいな風潮にならないで欲しい。

参考までに、以前書いたGoogleの共有設定の注意と対策についての記事を載せます。今回はファイル共有ではなくメール共有とのことですが、本質的には変わりませんので。

福岡県 感染情報9500分流出に見るファイル共有の注意と対策
https://note.com/waterclover/n/n809a8a6ec580

情報漏えい事案の大半が、外部からのサイバー攻撃で発生していますが、いわゆるヒューマンエラーが原因になっているケースが多いことは、様々なレポートで報じられています。
・IBM　https://jp.newsroom.ibm.com/2020-08-25-ibm-security-concern-investigation-report-release
・Verizon https://enterprise.verizon.com/ja-jp/resources/reports/dbir/
今回のケースのように、クラウドサービスのユーザによるアクセス制限の設定ミスはその典型例と言えそうです。在宅勤務の拡大など、今後は、クラウド利用が加速すると思いますが、利用開始時はもちろん、利用途中においても、情報の公開範囲の設定が適切であるか、常時確認しながらクラウドサービスを活用することが大切です。
また、クラウドサービス提供者にも、その利用インターフェースを改善し、ユーザがヒューマンエラーを起こしにくくする努力を求めたいですね。これまでも、ストーブなどの家電製品や自動車などでは、利用者の操作ミスが事故につながらないための工夫をメーカーが積み上げてきた歴史があり、そのおかげで、安心して利用できる環境が整ってきました。利用者の幅が広がるクラウドやWeb会議システムでも、同様の取組みが提供者に期待されます。
Web会議システムについては、遠隔講義を取り入れている大学のホームぺージに、使い方の注意が詳細に出ています。また、総務省の「テレワークにおけるセキュリティ確保」のガイドラインの付録には、Web会議システムごとの丁寧な設定ガイドがでています。
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
このような情報共有も大事だと思います。

本質的には医療関係者がストレスなくセキュアに使える情報プラットフォームの整備が必要なんだと思います。それはGoogleのクラウドストレージとかではなく、きちんと診療情報と連携した病院情報システムであるべき。リテラシーが...という議論は間違いではないですが、なぜそういった(設定次第でこういうことが起こってしまう)リスキーなサービスをユーザーが使ってしまうのかに焦点を当てたいですね。

「救命救急センターの看護師７人が業務連絡のため自主的に使用していたグーグルグループのメールを閲覧可能としていた。」

「自主的に」使用していたとのこと。単なる設定ミスではあるが高くつく。勝手に院外に個人情報を持ち出していたことになるから該当者らは簡単な処分では済まなそう。

それよりも業務外でさえ情報をやり取りしなくてはならない状況こそ真の課題か。