日本において、システム監査の必要性が唱えられたのは1985年(昭和60年)頃からだと記憶しています。当時の通商産業省がその必要性から情報処理技術者試験を開始したのがその翌年だったでしょうか。それまではCISA試験があったくらいで、アメリカ合衆国と日本の事情は大きく違いますので、そのまま適用するのには無理がありました。たとえば当時のCISAの基準では、従業員を解雇する際には(武器を携行していないか)身体検査を行い、ロッカールームにも立ち会って(システムへの不正行為がないよう)即座に退出させることが求められたりしていました。そこまではちょっと、と思っていましたが、世の中も変わり事情はずいぶんと変わって来ました。
個人情報漏えい事件は跡を絶たず、個人情報漏えい事件の一覧を提供しているSecurity NEXT (http://www.security-next.com/category/cat191/cat25) を見てみると、以下のような事案があります。
- 個人情報を記録した媒体の持ち出しに起因する事案
- メールご送信に起因する事案
- 書類の紛失による事案
2012年2月に発生した事案の中で特に問題なのは患者情報の漏洩が発生した、アイン薬局の事案と東京女子医科大学の事案でしょう。
アイン薬局の事案はレセプトデータを委託先の東日本メディコムが紛失した事案。レセプトはレセプトデータを簡単にやり取りできるようになり、コストも労力も大幅に削減できるようになりましたし、審査もその精度をあげられるようになりました(のはず)が、その分安易にデータを扱いやすくなっています。委託先の東日本メディコムと再委託先との間で紛失したということですが、プライバシーマークも取得している業者ということで、薬局も安心して委託していたのでしょうが、お詫びの一文がホームページに掲げられている程度。事態の深刻さがあまり伺えませんね。
手続き上アイン薬局に非がないようですが、それでもこれだけ名前が出るわけですし、患者さんが薬局利用を今後控えることも考えられます。東日本メディコムとしては事業継続を懸けて対応することが求められます。レセプトデータを媒体でやり取りすることは伝統的に行われてきていますが、最低限暗号化する必要があります。また、輸送経路での紛失機会を無くす意味で、インターネットVPNでもいいと思いますが、回線経由での授受をシステム化したほうがよほど問題がないしコストダウンになると思います。
東京女子医科大学の事案は医師が患者データを記録した私用PCを紛失したというものです。医師にとっては研究目的で患者データを持ち出すことに危機意識はあまりないのでしょう。私が医療機関に勤めていた頃、バスの中で診療記録を開いている若い医師を見かけました。電子カルテに移行した現在そのようなことはなくなったでしょうが、その分持ち出しが容易にできているのでしょう。患者データの利用は必要性があるのでしょうが、媒体へのコピーはもちろんのこと、私用PCの持ち込みなどは言語道断。一人の医師の問題が明らかになった影に、多くの他の医師も同様な行為を行なっているのではないかと疑いを持つのは、私だけではないでしょう。
大規模なシステム監査ではなく、個人情報、顧客情報の漏洩を隔絶するための情報セキュリティ監査を定期的に行うことが、今最も必要であると思います。監査は内部監査よりも外部監査のほうが効果的です。内部監査ではどうしても見落としたり見逃したりしてしまう部分があります。また、内部監査は同じ組織内で行いますので、どうしても基準が甘くなりやすい。また、本来は基準やガイドラインへの準拠が主眼となりますが、基準は具体性がなくガイドラインは実態を反映できていませんので、専門家による実効性の高い監査を行うべきです。