ケンブリッジのNHSトラストが、情報公開(FOI)請求への対応としてExcelスプレッドシート内の患者データを誤って開示したことに起因する、過去のデータ侵害2件を認めた。
ケンブリッジ大学病院NHS財団トラストのCEOであるローランド・シンカー氏は昨日このニュースを明らかにし、最初の事案は2021年に発生したものの、「最近」になってようやく判明したと説明した。
「最初のケースは、What Do They Knowのウェブサイト経由のFOI請求に提供したデータに関するものでした。請求に対応する際、私たちは個人データの一部を誤って共有してしまいました。これは、提供したスプレッドシート上では直ちには見えないものの、『ピボットテーブル』を介してアクセスできるものでした」と同氏は説明した。
「このデータは、2016年1月2日から2019年12月31日までの間に、ロージー病院で産科ケアの予約をしていた22,073人の患者に関するものでした。患者の氏名と病院番号、ならびに出産結果が含まれていました。」
Excelに関する記事を読む:データ漏えい後、北アイルランド警察官が脆弱な状況に
このデータが漏えいした方法は、今年初めに北アイルランド警察(PSNI)で発生した、はるかに重大な侵害とほぼ同一である。同警察もFOI請求への対応としてWhat Do They Knowに機微な情報を誤って共有しており、データはピボットテーブルによって隠されていた。
9月には、プライバシー規制当局である情報コミッショナー事務局(ICO)が、FOIデータ公開にExcelスプレッドシートを使用することの即時停止を求め、ピボットテーブルに関するガイダンスを公表した。このExcel機能は大規模なデータセットの要約に役立つ一方で、基礎となるデータの自動要約を作成し、それが直ちには見えない形で隠れてしまう可能性もある。
この侵害は、What Do They Knowの管理者が発見し、直ちに同サイトから情報を削除したことで、初めてトラストに知らされた。
しかしそれを受けて、NHSトラストは過去10年間に取り扱ったFOI請求について、さらなる調査を行った。
その結果、2021年に、ウィルミントンPLCに送付したスプレッドシートに、臨床試験を受けているがん患者373人の氏名、病院番号、および一部の医療情報が誤って含まれていたという追加の事案が判明した。
シンカー氏は、トラストとして、最初の侵害に関与した産科患者に対しては、直接書面で連絡しないことを決定したと述べた。
「産科情報の機微性を踏まえると、これまで開示されていなかった妊娠について家族に知られてしまうリスクを避けたいと考える患者もいると私たちは考えています。また、上記の期間に基づけば、この患者グループは自分が該当するかどうかを容易に特定できます」と、同氏は述べた。
「がん患者については、同程度の情報では自己特定がそれほど容易ではないため、私たちはこれらの患者に直接書面で連絡しました。」
画像クレジット:Tom Gowanlock / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/cambridge-hospitals-two-excel-data/
