USBの紛失事故

慶應大学病院で以下のような個人情報にからむ事故が発生している。
「慶応大学病院でＵＳＢ紛失か　個人情報２万４千人分紛失」

（msn:産経ニュース：

http://sankei.jp.msn.com/affairs/news/110627/crm11062722270024-n1.htm）

内容
慶應義塾大学病院スポーツ医学総合センターにおいて、患者2万4459人の個人情報含むUSBメモリが所在不明になったことが6月17日に紛失が判明した。
・USBメモリは所定のキャビネットに保管され、夜間は施錠されていたが、4月28日に確認以降所在が不明である。
・USBメモリ内部には、1991年9月から2011年4月にかけて同センターを受診した2万4459人の個人情報が保存。　　患者の氏名、ID、電話番号、性別、生年月日、傷病名など。
・同院のコメントでは、USBメモリ内の疾病名、治療経過について、別ファイルで管理されており、IDとパスワードがなければ　内容を閲覧できないと説明。　・同院では対象となる患者に説明と謝罪の文書の送付を開始した。

慶應大学医学部・医学研究科：
http://www.med.keio.ac.jp/information/hbimd2000000ir87.html

【コメントと対策】
USBメモリーは小さいが、データが大量に入る。その点が長所であり、短所でもある。
プライバシーマーク審査では、個人情報の保管場所等を見せてもらう場合があるが、保管する個人情報のリストを作成し、定期的にチェックしているところは少ない。
保管庫を管理する場合、総務担当者や経営者等の少数で保管庫を利用するなど限られたアクセスが行われる場合も多いが、このような場合はそれほど問題はないかもしれない。
しかし、保管庫や内部のUSBメモリ等を利用する担当者が複数で、しかも管理職以外の利用者が複数ある場合、仕組みとしての管理方法を工夫する必要があると思われる。
また、フラッシュメモリの場合、1年以上のデータの保存は補償しない旨取扱い注意に記載している場合がほとんどである。
USBはデータ保存の上からもハードウェア的にも保管し放しというのはリスクがあるといえる。
この意味で以下の管理方法を検討する必要があるだろう。
・USB専用の管理BOXを用いて、一見して保管・使用状況を把握でき　る状態にする。
・保管庫の施錠管理チェック時に、個々のUSBの保管・貸出等の状　況をチェ　ックする。
等、保管・貸出等の状況をチェックしやすい状態を作ることであり、ルール作り徹底実施をすることが重要であると思われる。
特に、USBを使用する担当者が多くなればなるほど管理が困難になり、責任の所在も不明確になりやすい。
また、管理を厳重にすればするほどリスクは少なくなるが、逆に業務の推進が妨げられる恐れもある。このため、USBの数を少なくして、管理職が保管管理するなど、事故が起きやすい要素をできるだけ少なくする工夫も管理のポイントとなる。