クリニック個人情報漏洩の対応フロー｜届出義務を解説

クリニックの個人情報漏洩とは何か

クリニックの個人情報漏洩とは、患者の氏名や住所だけでなく、診療情報、検査結果、処方内容、保険情報などが外部に漏れたり、見られるべきでない相手に渡ったりする状態です。院長や事務長にとって本当に深刻なのは、患者の信頼低下と、診療継続への支障が同時に起こりやすい点ではないでしょうか。

医療情報は、一般の顧客データよりも機微性が高く、個人情報保護法上の要配慮個人情報を含む場面が多いのが特徴です。そのため、医療機関では「件数が少ないから大丈夫」とは言い切れません。USBの紛失、FAXやメールの誤送信、クラウド設定ミス、委託先での流出、ランサムウェア感染まで、幅広い事案が届出や本人通知の対象になり得ます。

当法人でも、医療機関から「誤送信が1件だけでも報告が必要ですか」「電子カルテが暗号化されただけで漏洩扱いですか」といった相談を受けます。結論としては、患者情報を含む事故は件数より性質で判断することが重要です。

医療情報漏洩の届出義務はどこまであるか

個人情報 漏洩 届出 義務の基本

個人情報保護法では、個人の権利利益を害するおそれが大きい事態が生じた場合、報告と本人通知が必要です。クリニックでは診療情報や調剤情報が含まれるため、通常の事業者より報告対象に入りやすいと考えるべきです。

特に押さえたいのは、次の4類型です。

医療機関では、患者の診療情報そのものが要配慮個人情報に当たりやすいため、一般企業よりも報告義務が発生しやすい構造です。つまり、患者情報の誤送信1件でも届出義務が生じる可能性があるという前提で動いた方が安全です。

速報と確報の期限

実務では、発覚後すぐに事実関係が固まらないことが多いです。そのため、まず速報を行い、その後に確報を提出する流れになります。現在の公的案内では、速報は発覚から3〜5日以内、確報は30日以内が基本で、不正アクセスなど不正の目的が疑われる場合は確報期限が60日以内と整理されています。

患者情報 流出 対応で最初にやるべきこと

対応フローの全体像

漏洩時の失敗で多いのは、謝罪文の作成を急ぐあまり、証拠保全と被害拡大防止が後回しになることです。先にやるべきは、原因究明よりも拡大防止です。

Step 1: 事実確認と遮断

発生日時、対象端末、対象データ、外部送信の有無を確認します。誤送信なら送信先への削除依頼、端末盗難ならアカウント停止、不正アクセスならネットワーク遮断とパスワード変更を優先します。

Step 2: 証拠保全

ログ、送信履歴、画面キャプチャ、委託先との連絡記録を保存します。電子カルテや予約システムのベンダーにも早期連絡し、原因調査の起点を確保します。

Step 3: 対象範囲の特定

何名分の情報か、どの項目が含まれるか、診療情報が含まれるかを整理します。この段階で届出要否の仮判定を行います。

Step 4: 院内報告と意思決定

院長、事務長、個人情報管理責任者、システム担当、顧問先専門家で役割を分けます。小規模クリニックほど、誰が外部対応を担うかを明確にしておく必要があります。

Step 5: 届出と本人通知

法令上の対象であれば、速報を優先して提出します。患者への通知は、二次被害防止に必要な情報を中心に、事実・影響・再発防止策を簡潔に記載します。

Step 6: 再発防止と記録化

誤送信防止ルール、端末管理、アクセス権設定、委託先管理、研修実施記録まで残します。後日、監査や問い合わせがあった際の説明資料になります。

医療機関で見落としやすい初動ミス

よくあるのは、患者から指摘されるまで事故扱いにしていないケースです。たとえば、FAX誤送信で「相手に破棄してもらったから終了」と判断するのは危険です。また、ランサムウェアでは「漏れていないはず」と思い込み、外部報告を遅らせるケースもあります。

医療・介護分野のガイダンスでも、サイバー攻撃の疑いがある場合は、保守会社等への連絡とあわせて、医療提供体制への支障や漏洩のおそれを見て速やかな連絡が求められています。電子カルテが止まった時点で、単なるIT障害ではなく、診療継続リスクを伴う個人情報事故として扱う意識が必要です。

クリニックで起こりやすい漏洩原因と予防策

アナログ事故とデジタル事故の違い

クリニックでは、紙とデジタルの両方で事故が起きます。紙カルテ時代の感覚で運用していると、クラウドや外部委託で想定外の流出が起きやすくなります。

小規模クリニックほどBCPが重要

「うちは診療所だから狙われにくい」という考え方は危険です。実際には、専任情シスがいない小規模医療機関ほど、メール添付やリモート保守経由の事故に弱い傾向があります。厚生労働省は医療機関向けのサイバーセキュリティ対策チェックリストを公表しており、最低限のバックアップ、端末更新、アクセス管理、委託先との連絡体制を確認することが求められています。

本人通知はどう書くべきか

本人通知では、隠し過ぎも詳し過ぎも問題です。必要なのは、患者が二次被害を避けられる情報を、わかる範囲で速やかに伝えることです。

通知文に最低限入れたいのは、次の項目です。

• いつ、どのような事案が起きたか
• 対象となる可能性のある情報項目
• 現時点で判明している影響
• クリニック側の対応内容
• 患者にお願いしたい確認事項
• 問い合わせ窓口

たとえば、保険証情報や決済情報が含まれる場合は、通常の診療情報漏洩よりも二次被害の説明が重要になります。一方で、原因が未確定な段階で断定的な表現を使うと、後の訂正で信頼を損ねます。現場では「現時点で確認されている範囲では」という留保表現を適切に使うことが大切です。

税理士法人 辻総合会計としても、医療機関の事故対応では、法務・IT・労務・広報が絡み合うため、院内だけで抱え込まず外部専門家と分担する体制を勧めています。特に、委託先ベンダーと顧問先専門家の連携が遅れると、届出期限と患者説明の両方が後ろ倒しになりやすい点に注意が必要です。

再発防止策と平時の備え

再発防止策は、反省文ではなく運用変更まで落とし込んで初めて意味があります。見直し対象は、規程、権限設定、送信ルール、教育、委託先管理、バックアップの6点です。

平時に準備したい内容を整理すると、次のとおりです。

• 個人情報事故の院内報告ルートを文書化する
• 誤送信時の連絡テンプレートを用意する
• ベンダーの緊急連絡先を一覧化する
• 端末持出しとUSB利用ルールを明確にする
• バックアップの取得だけでなく復元訓練を行う
• 年1回以上、職員研修を実施して記録を残す

「何かあったらベンダーに聞く」では遅い場面があります。院長不在時でも動けるように、初動フローをA4一枚で見える化しておくと、事故時の判断がぶれにくくなります。

よくある質問

Q: 患者1人分のカルテを誤送信しただけでも届出義務はありますか？ ▼

あります。患者の診療情報は要配慮個人情報に当たるため、人数が少なくても報告対象になる可能性があります。まずは誤送信先への削除依頼と証拠保全を行い、届出要否を速やかに確認してください。

Q: ランサムウェアで電子カルテが見られなくなっただけでも報告対象ですか？ ▼

報告対象になり得ます。暗号化により復元できない状態や、不正アクセスによる漏洩のおそれがある場合は、個人情報事故として扱う必要があります。医療提供体制への支障があれば、厚生労働省への連絡も視野に入ります。

Q: 委託先で漏洩が起きた場合、クリニックも報告が必要ですか？ ▼

原則として、委託元と委託先の双方に報告義務が生じる場面があります。連名報告が可能な場合もありますが、委託先任せにせず、契約書と報告体制を事前に確認しておくことが重要です。

まとめ

• クリニックの情報漏洩は、診療情報を含むため少人数でも届出対象になりやすい
• 初動では謝罪より先に、拡大防止・証拠保全・対象範囲の特定を優先する
• 速報は発覚後3〜5日以内、確報は30日以内、不正アクセス等は60日以内が目安
• ランサムウェアや不正アクセスは、漏洩確定前でも「おそれ」で報告対象になり得る
• 平時から報告ルート、委託先連携、バックアップ復元手順を整えておくことが重要

---

参照ソース

• 個人情報保護委員会「漏えい等の対応とお役立ち資料」: https://www.ppc.go.jp/personalinfo/legal/leakAction/
• 個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」: https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance/
• 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」: https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html