近年、情報漏洩ということが頻繁に使われるようになりました。
自分がクリニックを始めた20年前ごろから、「個人情報」に人々の注意が向けられまたし。これは、ネット社会が浸透することと比例しています。
正確には、「個人情報の保護に関する法律(いわゆる個人情報保護法)」が国会で成立したのが2003年のことで、その年に施行されています。その中で、個人情報の定義は「生存する個人に関する情報であって、特定の個人を識別することができるもの」とされています。
個人情報を得たものはそれを「個人の人格尊重の理念の下に慎重に取り扱われるべき」ものとし、意図的に漏洩した場合。あるいは不正に取得した場合には懲役刑や莫大な罰金が科せられる場合があります。
多くのケースでは、誰かが不正に個人情報を持ち出すことが多いわけですが、最近増加しているように感じるのはネットを通じた不正アクセスによる情報漏洩です。企業などの団体では事業の効率化の観点から個人情報をデータベースとしてコンピュータで管理しているので、ちょっとした抜け穴があれば容易にハッキングされる危険を伴っています。
うちのクリニックような小規模事業者では、義務化された電子カルテのすべてが個人情報の塊です。使用するコンピュータの台数は少なく目が届きやすいとは言え、電子カルテにアクセスできるLANは、閉鎖されたイントラネットでオープンなインターネットとは遮断しています。まれに患者さんとメールでやり取りをする場合がありますが、情報を伝えるためには特定のUSBメモリーだけを使用するようにしています。
先日、以前に勤務していた大学から「個人情報の漏えいについて(お詫び)」と題された書面が送られてきました。
外部からの不正アクセスにより個人情報が流出した件のお知らせみたいな内容で、委託先が悪いためというこららしく、そもそも括弧でくくってあって「お詫び」感は少な目。それを責めてもしょうがないので、別に事を荒立てるつもりはありません。
ただ、流出した内容が、氏名、性別、生年月日、住所、電話番号、教職員番号、利用者区分、学内メール・アドレスのIDとパスワード、所属、役職などなどとなっていて、驚いたのは退職したのは30年近く前の事なのに、いまだに情報を残していたということです。
事務処理上、退職後数年間はわかりますが、こんなに長期間にわたって使い道のないデータを保有しているということが、どれだけ無駄な、そして今回のような危険を伴うと言うことを理解していないようです。最近はだいぶ注意を払うようになりましたが、IDやパスワードは使いまわしたりすることが多かったし、生年月日・住所・電話番号などもパスワードを推定する材料にもなるかもしれません。
インターネットの普及は便利な事だけではなく、さまざまな危険をはらんでいて、今でもすべての安全対策が整備されていません。最近はAIがトレンドでどんどん普及させようとする勢力が活発に活動していますが、また新たなトラブルも持ち込んでくる可能性があり、ほとんど法整備されていない現状は大変危険なものかもしれません。