弊社社員による個人情報の持ち出しについて(1)

2019年12月02日

報道関係各位

株式会社インテック

このたび弊社が業務を受託しております高岡市民病院様および市立砺波総合病院様から、弊社社員が個人情報を持ち出したことが判明いたしました。
当該病院の患者様、ならびに関係者の皆様にご迷惑とご心配をおかけし、誠に申し訳ございませんでした。詳細は、下記のとおりです。

持ち出した内容

弊社調査の結果、弊社社員は上記病院様から、患者様の氏名、生年月日、性別、住所といった個人情報を紙形式で自宅に持ち出したことが判明いたしました。

• 高岡市民病院様　　　32名分
• 市立砺波総合病院様　11名分

なお、弊社社員以外の第三者への情報流出は確認されておりません。

弊社社員について

弊社社員は、50歳代の男性社員で、病院情報システムの運用業務を担当していました。
弊社社員は、市立砺波総合病院様では、2017年4月から2019年3月までの2年間、および2019年6月から8月までのうち8日間、高岡市民病院様では、2019年8月のうち2日間業務に当たっておりました。

判明の経緯

本年9月11日に弊社社員が、添付ファイル付き電子メールの個人アドレス宛への送信が禁止されているにも関わらずこれを行おうとした際、社内セキュリティシステムが検知しました。
その後の調査により弊社社員が紙の資料を自宅に持ち出していることが判明しました。
なお、私用のパソコンその他機器には持ち出したデータがないことを確認しました。

弊社の対応

弊社社員が持ち出した紙については、本人の自宅から回収済です。
また弊社社員は担当業務からは外れており、現在業務を行っておりません。
その他の病院様につきましても同様の事象が発生していないか現在調査中です。

持ち出した原因

本事案における原因は、以下の３点と考えております。

業務環境に起因するもの

• 弊社社員は１人で運用業務を担当する時間帯があり、持ち出し可能な状況であった
• コンピュータ室内への持ち込み／持ち出し管理をしていなかったことで、私物鞄などで持ち出し可能な状況であった

管理体制に起因するもの

• 定期訪問による業務確認や監視なども含めた現場管理体制の問題
• 業務特性に対する適切な人員配置の問題
• セキュリティに対するマインド醸成に向けた教育／指導不足

弊社社員固有の問題

• お客さまの情報を扱うことに対して、根本的なセキュリティ意識が欠如していた

再発防止策

弊社では、これまで以下のセキュリティ対応を行ってまいりました。

• 1. 社外への添付ファイル送信チェック
• 2. 自宅パソコン内の業務データチェック
• 3. 不要サイトへの閲覧チェック
• 4. セキュリティ教育を全社員に毎年実施
• 5. セキュリティ点検リストによる年４回の点検

本件事案の対策として、病院様にご協力をお願いし、以下の対応を含めて協議、実施してまいりたいと考えております。

業務環境、管理体制に関するもの

業務上病院様の機密情報にアクセスできる状態であることに対しては

• 1. 業務の遂行については、必要な権限を有する者のみとする

病院内の情報を持ち出すことが出来る環境になっていた点については

• 1. 室内への私物の持ち込み、持ち出しルールの厳格化
• 2. 監視カメラ等による監視の強化
• 3. 室内にシュレッダーを設置し、その場で破棄する

一人で行う機会が多い業務である点については

• 1. システムへのアクセスログ、操作ログの取得と監視
• 2. 抜き打ちでの作業監査

社員教育等に関するもの

• 1. 運用要員への定期面談を実施
• 2. 全社員を対象とした情報セキュリティ教育の再実施

責任と処分

本人および関係者の処分については、本件の調査および関連する対応終了後に、社内規定に基づき厳正に行います。

患者様への対応について

弊社社員が持ち出した情報に含まれる患者様に対しては、病院様と相談をしながら、弊社として誠心誠意対応をさせていただく所存です。

PDFリンク