NHSのあるトラストが、職員が未承認のアプリで2年間にわたり患者の詳細情報を共有していたことが判明し、英国のデータ保護規制当局から譴責を受けた。
情報コミッショナー事務局(ICO)によると、NHSラナークシャーの職員26人が2020年4月から2022年4月にかけてWhatsAppグループにアクセスし、氏名、電話番号、住所、画像、動画、スクリーンショット、臨床情報などの機微な患者データを入力していた。
NHSのデータ漏えいについて詳しく読む:データ漏えいが数千人のNHS職員を直撃
このWhatsAppグループは当初、パンデミック初期に職員間の連絡を支援するために設置された。しかし、患者データの処理に関しては承認されておらず、患者データはGDPR上「特別カテゴリー」の個人データに分類される。法律の第9条は、このカテゴリーのデータに特別な保護を与えている。
職員は、トラストの把握がないまま、このデータの共有にグループを使い始めたとみられる。職員ではない人物が誤ってグループに追加され、その人物に個人情報が不適切に開示される結果となったとICOは主張し、シャドーITの危険性を浮き彫りにした。
トラストは事態を把握すると直ちにICOへ報告したが、その時点までに患者データは500回以上にわたりアプリに入力されていたと規制当局は述べた。
その後の調査では、WhatsAppがダウンロード可能になった時点で、トラストに適切な方針、ガイダンス、またはプロセスが整備されていなかったと結論づけられた。例えば、当時リスク評価は実施されていなかった。
情報コミッショナーのジョン・エドワーズ氏は、人々が自分の情報が安全に扱われていると信頼できるよう、患者データは「慎重かつ安全に」取り扱わなければならないと述べた。
「NHSラナークシャーが、すべての医療提供者と同様に、パンデミック中に大きな圧力を受けていたことは理解しているが、データ保護基準を緩めることに言い訳はない」と、同氏は付け加えた。
「すべての医療機関はこの事例を教訓として捉え、メッセージングアプリと患者情報の処理の双方に関して、自らの方針を検討すべきだ。私たちはNHSラナークシャーに対し、患者データが再び危険にさらされないよう、フォローアップを行う。」
翻訳元: https://www.infosecurity-magazine.com/news/nhs-staff-reprimanded-whatsapp/
