英国のデータ保護監督機関は、ウェールズ公妃の医療記録へのアクセスおよびその売却を試みた元医療従事者に対して、刑事捜査を進めないことを決定しました。
情報コミッショナー事務局(ICO)は、王族が腹部手術のためロンドン・クリニックに入院していた際の問題が報じられたことを受け、2024年に同院の内部関係者に対する刑事捜査を開始しました(関連報道はこちら)。
なお、当該の看護師はこの事件を受けて資格を剥奪されたとみられています。
「王室検察官規定およびICOの訴追方針に基づく全面的な審査を経て、ICOはロンドン在住の元医療従事者に対し、2018年データ保護法第170条第5項に基づく違反行為に関して正式な警告を発出しました」と、ICOは6月17日の声明で述べました。
「今回の行為は、極めて機微な個人情報の意図的な悪用であり、金銭的利益を目的にその情報を開示しようとしたものです。これは信頼の明白な裏切りにほかなりません。」
ICO関連記事:ICO、NHSサプライヤーのAdvancedに600万ポンドの制裁金を準備
ICOは、今回の個人への警告処分が「適切かつ均衡のとれた執行対応」であると説明しています。
また規制当局は、より広範な組織的問題の有無についても検討したものの、確認された不備は執行措置を講じる基準を満たさないと判断したとしています。
「医療機関に提供した個人情報は安全に守られており、悪用される心配はないと、人々は信頼できなければなりません。その信頼が損なわれた場合に法的な措置を取れるよう、法律が権限を与えているのは当然のことです」と、ICOの規制監督担当エグゼクティブディレクターであるイアン・ハルム氏は述べました。
「必要かつ適切であると判断した場合には、ためらわず刑事訴追を進める方針です。」
医療分野への監視の目
医療分野の内部関係者が職権を乱用して摘発されたのは、これが初めてではありません。
2010年には、NHS職員が患者の医療記録に不正アクセスしたとして、1990年コンピューター不正使用法違反7件について有罪を認めました。
医療情報は機密性が高いうえ、金銭的価値も持つことから、GDPRでは「特別カテゴリー」データに分類されています。
2021年のレポートでは、世界の医療機関の3分の1以上(35%)が前年に悪意ある内部関係者によるクラウドデータ窃取の被害を受けたことが明らかになりました。
最近の調査によると、42%の組織が過去1年間で悪意ある内部関係者からの脅威が増加したと報告しています。
翻訳元: https://www.infosecurity-magazine.com/news/ico-cautions-healthcare-worker/
