独立行政法人国立病院機構宇都宮病院(栃木県宇都宮市、杉山公美弥病院長)の患者25人分の医療データを漏えいさせたとして個人情報保護委員会(PPC)は独立行政法人国立病院機構(東京都目黒区、楠岡英雄理事長)に対し行政指導を行ったことを明らかにした。
PPCによると、宇都宮病院の患者の医療データが本人に通知されることなく一般財団法人日本医師会医療情報管理機構(J-MIMO)に提供されていたもので、データが漏えいした患者は令和3年12月に8人、令和4年4月に6人、令和5年4月に11人の計25人にのぼる。次世代医療基盤法では医療情報取扱事業者である医療機関が認定事業者に医療データを提供できることを定めているが、一方、患者には自身の医療データが提供されることを中止する権限を認めており、医療データを提供する際は患者本人にデータの提供について通知するように定めている。
国立病院機構では患者番号をもとに医療データを抽出してJ-MIMOに提供しており、宇都宮病院では当初、患者番号を6桁で運用することを国立病院機構に伝え、国立病院機構では宇都宮病院の患者のレセプトデータ収集を6桁の番号で行うようにシステムを設定していた。しかし、患者の増加に伴い宇都宮病院は令和3年8月に患者番号の桁数を6桁から8桁に変更したが、そのことを国立病院機構に伝達していなかったため、国立病院機構の医療データシステムにおいては6桁の番号のまま医療データを抽出する設定になっていた。その結果、8桁のうちの下6桁の番号だけが読み取られて、通知した患者とは別の患者のデータが抽出され、本人に通知されることなくJ-MIMOに医療データが提供されていたという。
国立病院機構が今年5月19日に漏えいをPPCに報告、これを受けてPPCが調査を行っていた。PPCは個人情報保護法147条にもとづき行政指導を実施、国立病院機構に対して組織的安全管理措置、技術的安全管理措置を求め、これを受けて国立病院機構は患者番号だけでなく生年月日など複数の情報を照合して医療データを抽出するシステム導入等の再発防止策を講じている。
■出典
