セキュリティ
NHSフォース・バレーは、基本的なメールデータ保護原則を誤った、最新の保健委員会となりました
スコットランドのあるNHSトラストで、職員が同トラストの産科サービスに接触した女性約150人分の個人情報を、自分の個人用メールアカウントに送信していたことが、同トラストの発表で明らかになりました。
エディンバラとグラスゴーの間の地域でNHSサービスを統括する保健委員会、NHSフォース・バレーは、この問題について調査を進めており、影響を受けた女性たちにはすでに連絡を取ったとしています。
広報担当者は、「当委員会の産科システムから抽出したデータを含むスプレッドシートを、職員が自身の個人用メールアドレスに転送していたことが判明し、現在内部調査を進めています」と述べています。
「スプレッドシート内の情報の大半は個人を特定できないものですが、地域の産科サービスを利用した複数の女性に関するデータが一部含まれていました」
「現時点で、この情報がさらに広く共有された証拠はありません。また、当該職員からはすでにデータを削除したとの報告を受けています」
NHSフォース・バレーは、データ主体である本人に直接連絡を取るとともに、英国情報コミッショナー事務局(ICO)を含む複数の関係機関にも報告したとしています。
この問題の影響を受けた約150人の女性のうちの1人で、出産したばかりの女性は、この件を最初に報じたFalkirk Herald紙の取材に対し、自分の個人情報が公になっているのではないかという不安を感じていると語りました。
この女性はNHSフォース・バレーから、当該情報は分析目的で転送されたものであり、関与した職員は正規の資格を持つ非臨床スタッフであって、新人職員ではないと説明を受けたと報じられています。
また、スプレッドシートに含まれていたデータには、フルネーム、生年月日、NHS番号、妊娠治療に関する情報、そして各患者の子どもの総数が含まれていたことも伝えられたとしています。
NHSフォース・バレーは、今回の事案についてスコットランド警察(Police Scotland)と情報コミッショナー事務局(ICO)にも報告済みであるとしています。
数々の功績があるとはいえ、英国の医療サービスは、メールに起因するデータ漏洩に関しては、決して輝かしいとは言えない実績を持っています。
職員による情報公開請求への対応の不手際から、BCC機能の扱いに手こずるケースまで、NHSおよびより広範な英国公共部門では、近年数々の失態が繰り返されてきました。
過去には、チェルシー・アンド・ウェストミンスターとNHSハイランドという2つの別々のトラストが、一斉送信の際にBCC欄ではなくCC欄を使用したことで、HIV患者のデータ保護に失敗する事案も起きています。
2020年から2021年にかけては、ケンブリッジ大学病院NHS財団トラストでも、情報公開請求への回答として送付したスプレッドシートに余計なデータが含まれたまま公開されるという事案が発覚しています。
そして、おそらくNHS史上最も印象的な失態と言えるのが、他ならぬNHSデジタル部門が、サイバーセキュリティイベントの参加者宛てに送った4通の別々のメールで、BCCの設定に失敗し数百件のメールアドレスを流出させてしまった一件でしょう。 ®