岐阜市民病院で外来患者に「他人6人分」の書類を交付 ―― サイバー以前の“手渡し漏えい”が突く現場運用の穴

岐阜市民病院で、外来患者に対して本来渡すべき書類とともに、無関係な他の患者6人分の氏名・病名・検査内容などが記された書類を誤って手渡してしまう個人情報漏えいが発生した。ハッキングやマルウェアといったサイバー攻撃ではなく、看護師が院内の確認ルールを守らなかったことが引き金だという。地味に見えるが、医療機関にとっては患者の最もセンシティブな情報が第三者の手に渡りかねない事案であり、「紙」と「運用」に潜むリスクを改めて突きつけている。

何が起きたのか

報道によると、看護師が外来患者に放射線検査に関する書類を渡す際、他の患者6人の氏名や病名、検査内容などが書かれた書類を誤って一緒に手渡してしまった。誤交付が起きたのは6月15日とされる。
書類を受け取った患者が帰宅した後、約1時間後に本人からの申し出によって発覚した。病院はその日のうちに誤って渡した書類を回収し、6月24日までに情報が漏えいした6人に対して謝罪を行ったという。回収が速やかだった点は不幸中の幸いだが、いったん院外に持ち出された情報が「本当に拡散していないか」を完全には証明しきれないのが、こうした物理的漏えいの難しさである。

原因は「決められた場所で確認しなかった」こと

病院側の説明では、患者に関する書類はバックヤード(患者が立ち入らない業務スペース)で確認するというルールがあったにもかかわらず、看護師がこれを守らず、患者も出入りする部屋で書類を扱っていたことが原因とされている。
つまり技術的な欠陥ではなく、「決められた手順が現場で守られていなかった」という運用上の綻びが本質だ。人手が逼迫し、患者対応に追われる医療現場では、こうした“ちょっとした省略”が起こりやすい。書類の取り違えや同時進行での複数患者対応は、ヒューマンエラーが最も混入しやすい典型的な場面といえる。
病院は再発防止策として、バックヤードで書類を確認するルールの徹底などを挙げている。

医療現場の情報管理として見過ごせない理由

サイバーセキュリティというと、外部からの不正アクセスやランサムウェアばかりが注目されがちだ。しかし実務では、誤送信・誤交付・書類の取り違え・PCや記録媒体の紛失といった「人的要因による漏えい」が、件数ベースでは依然として大きな比重を占める。今回のケースは、システムをどれだけ堅牢にしても、最後の“手渡し”の一手で情報が漏れうることを示している。
とりわけ医療情報は、氏名に加えて病名や検査内容といった要配慮個人情報(センシティブ情報)を含む。万一これらが第三者に知られれば、患者の不利益は金銭被害にとどまらず、プライバシーや尊厳に直結する。だからこそ医療機関では、「情報を扱う場所を分ける」「第三者の目に触れる場所では書類を広げない」といった物理的な運用ルールが、システム的な対策と同じ重みを持つ。
今回の事案が示す教訓は、ルールは“作ること”ではなく“守り続けられる形にすること”に意味があるという点だ。バックヤード確認の徹底に加え、渡す直前の宛名・枚数のダブルチェック、書類を患者ごとに分離して保管・搬送する仕組みなど、うっかりを構造的に防ぐ工夫が、あらゆる組織にとって参考になる。

出典・参考リンク