スコットランドの住民50万人以上にサービスを提供するNHSラナークシャーのスタッフは、WhatsAppを使用して患者の写真や個人情報(子供の名前や住所など)を交換していた。
英国情報コミッショナー事務局(ICO)は調査の結果、スコットランド中央低地のラナークシャー地方の農村部と都市部にある3つの病院と診療所などを管轄する組織に対し、大幅に編集された公式の懲戒処分を出した。ICOは、英国政府が最初のCOVID-19ロックダウンを発令した直後の2020年3月に作成されたグループチャットが、英国GDPR第58条に違反していたと述べている。
WhatsAppは暗号化されたプラットフォームであると明言していたため、スタッフは安全だと考えていた。
勧告では罰金ではなく、ヘルスケアグループのデータ保護慣行の徹底的な見直しが求められたが、それでも公式の懲罰文書[PDF]は目を見張る内容となっている。
2020年4月1日から2022年4月25日までの2年以上にわたり、26人の職員間で数百件のWhatsAppグループ内のエントリを通じて情報が共有されていました。これらのエントリには、成人および小児の患者の名前、数百件の電話番号、多数の生年月日、少なくとも28件の自宅住所、「画像15枚、動画3本、スクリーンショット4枚」が含まれていました。これらの情報の一部には臨床情報が含まれており、英国GDPR第9条に違反する「特別カテゴリー」データに該当します。
はい、NHSポータルから提供されるソフトウェアを使用して、実際の仕事用携帯電話で
職員たちはNHSラナークシャーのポータルサイトから直接ダウンロードしたWhatsAppのコピーを仕事用の携帯電話で使用していたが、氏名は伏せられたものの、「誤って」グループに追加された人物がいたことが判明した。この「無許可の人物」は「生徒4名の名前と生徒番号、子ども1名の名前、そして子ども2名の名前と住所」にアクセスできた。
ICOは、WhatsAppが暗号化プラットフォームであると明言していたため、職員は安全だと考えていたと指摘した。監視機関は、これは「WhatsAppグループに関わる職員が、WhatsAppに関する情報ガバナンスに関する期待を理解していなかったことを示している」と述べた。
職員は、セキュリティ管理の対象となっている職場支給の携帯電話からWhatsAppを使用していた。
COVID-19によるロックダウンの真っ只中、患者を治療するために情報交換を試みる臨床医たちの行動は、一部の首相がiPhoneのパスコードを忘れたと発言したり、銀行員が禁止されたプラットフォームで帳簿外の取引について議論したりするのと比べると、到底比較できるものではない。しかしICOは、NHSラナークシャーのポリシーは「このような事態を防ぐために、より具体的なものであるべきだった」と評価した。
文書には、緩和策として、「写真やビデオに関しては、NHSラナークシャーには安全な臨床画像転送システムがなく、臨床記録のスクリーンショットは許可されていないため、通常の業務ではスタッフがこれにアクセスすることはできない」とも記されている。
関係するスタッフの多くは、COVID-19によるロックダウンのためリモートワークをしていた。
- 銀行員が仕事中にWhatsAppを使っているのではないかと疑ったことはありますか?18億ドルがあなたの主張を裏付けています
- 英国が提案する代替GDPRは、英国をデータ収集の「実験室」に変えるだろう
- メタの大量のデータを扱うスレッドはEUを飛び越えてイギリスに上陸
- 英国のGDPR代替案はライブ顔認識の監視を一掃する可能性がある
監視機関は、ポリシーではWhatsAppなどのメッセージングアプリについて明確に言及されておらず、「WhatsAppに直接適用される具体的なポリシーはなかった」と述べた。
ICOは、NHSラナークシャーのポータルからWhatsAppをダウンロードできるようにする前に、職員が同アプリを使って個人データを不適切に共有するリスクなど、個人データに関する潜在的なリスクを特定するための「リスク評価」をNHSラナークシャーが完了するべきだったと述べた。
さらに次のように付け加えた。
銀行員が仕事中にWhatsAppを使っているのではないかと疑ったことはありますか?18億ドルがあなたの主張を裏付けています
続きを読む
ICOは、組織は「安全な臨床画像転送システムを実装する必要があるか、または義務付けられているかを検討する必要がある」と述べた。
私たちはNHSラナークシャーにコメントを求め、近い将来に安全な臨床画像転送システムを導入する予定があるかどうかについても尋ねた。
ザ・レグに送られた声明の中で、ノース・ラナークシャーの保健・社会福祉部門看護部長のトゥルーディ・マーシャル氏は次のように述べた。「パンデミック中に、私たちのコミュニティチームの一つが患者の個人データを交換するためにWhatsAppを使用していたことに対し、ICOから正式な叱責を受けました。」
チームがこのアプローチを、通常は臨床現場またはオフィスで行われるはずのコミュニケーションの代替手段として採用したことは認識していますが、当時は新型コロナウイルス感染症の制限によりそれが不可能でした。しかしながら、WhatsAppの使用は患者データの処理を目的としたものではありません。
「このグループを通じて個人情報が共有された皆様に心よりお詫び申し上げます」と彼女は付け加えた。「介護施設内で画像や動画の転送・保存に導入可能な代替アプリの検討など、既にいくつかの対策を講じています。これは、個人データの保存に伴うリスクを考慮しながら進めています。」
ちなみに、情報コミッショナーは、英国政府がブレグジット後のデータ制度をDPDI II法案で目指す形で刷新しようとした場合、規制監督のもう一つの側面として影響を受けることになる。現在下院で審議中のこの法案は、英国GDPRの代替として物議を醸している提案であり、情報コミッショナーの「職務」を廃止し、その機能を新たな委員会である「情報委員会」に置き換えることを提案している。
最新の草案によれば、国務長官は法定文書を用いて「委員会が監督する義務のあるデータベース」を変更、追加、削除したり、委員会の名称を変更したり、「委員会に行動規範やガイダンスの発行を義務付けたり、許可したり」することができる。これは、規制当局の独立性を損ない、そのガイダンスや優先事項に影響を及ぼすことになる。®
