医療機関の電子カルテ・予約管理システムから個人情報が漏洩中

別サービスで10万社の導入を誇る企業が開発する医療機関向け電子カルテ・予約管理システムから、1名分の個人情報が第三者に漏洩しました。なお私に届いたのは1名分ですが、更に多くの個人情報漏洩が発生する（発生している）可能性が高いです。

漏洩した個人情報

予約管理システム上で漏洩した情報

1. 本名
2. 生年月日
3. 電話番号
4. 自宅住所

漏洩した情報を検索し入手できた情報

1. 勤務先
2. 本人写真（たまたま、ウェブ上に写真が出る立場にいる方）

なお予約のキャンセルも第三者が操作することが可能と思われる（他人の予約なので実際に操作はしていない）。

漏洩の原因

システム登録時のメールアドレス記入ミス

漏洩経路

予約管理システムが自動送信するメールに記載された予約確認ページ

漏洩原因の考察

同システムを利用するクリニックにおいて、下記のいずれかにより第三者のメールアドレスが紐付けられてしまったと思われる。

1. 患者本人がシステムに誤入力した
2. 患者の手書き情報を医療事務スタッフが電子化する際に誤入力した

漏洩予防の推奨対策

1. アカウント作成時の本人確認（メールアドレスやSMS）
2. 予約通知メールへの予約確認ページURLの記載停止
3. 予約確認URLを開く際の本人確認を必須化

この記事を読んだ情報セキュリティ担当の方は、今すぐにでも似た仕様のシステムを利用していないか？をご確認ください。あるある事例だと思います。

個人情報保護委員会への報告義務

個人情報が漏洩した場合には一定条件において報告義務があります。詳しくは下記をご確認ください。

漏洩を発見した個人も気軽に報告できるフォームがあると便利なのですが、基本的には個人情報保護委員会への報告は事業者・行政のみからの受付となっている模様です。

医療ISAC

医療分野での情報セキュリティを啓蒙する一般社団法人の存在を今回、問題を指摘するにあたって知りました。医療関連サービスの開発企業は会員登録しておくことをおすすめします。