室見動物病院は、同院が利用する電子カルテサービス事業者A’alda Y株式会社において、飼い主の個人情報が他の動物病院に誤って共有され個人情報が漏えいした事を発表しました。
事故の概要
1. 事故発覚と経緯
- 2024年8月9日、A’alda Y株式会社の従業員が、同院の飼い主の個人情報を含むファイルを誤って他の14の動物病院がアクセス可能な場所にアップロードしていたことが判明。
- 調査の結果、14病院のうち5病院で該当ファイルがダウンロードされていることが確認。
- 2024年10月10日時点で、該当ファイルはすでに当該場所から削除されており、第三者による閲覧の可能性は排除されています。
2. 誤送信による漏洩
- 2024年10月11日、A’alda社が14病院のうち9病院に対し削除依頼のメールを送付する際、一部の病院に誤って同じファイルを再送信する事態が発生。その結果、新たに3病院に対して個人情報が流出する結果となる。
- 合計で、8病院に飼い主様の個人情報が共有される事態が確認。
対象となる個人情報の範囲
- 対象者:2024年7月8日以前に当院を利用された一部の飼い主様(手帳番号・診察券番号が0~3032の方の一部)
- 漏洩した可能性のあるデータ項目:
- 飼い主様に関する情報
「氏名」「住所」「郵便番号」「最終来院日」など - ペットに関する情報
「ペット名」「動物種」「性別」「避妊去勢の有無」「予防接種履歴」など
- 飼い主様に関する情報
二次被害の状況
現時点において、二次被害の報告は確認されておりません。また、漏洩したデータに含まれる情報は、クレジットカード情報や決済に関するID・パスワードなどの高度なリスクを伴う情報ではないため、さらなる被害の発生リスクは低いと判断しております。すでに漏洩した8病院全てからのファイル削除が完了していることも確認済みです。
再発防止策
本件を受け、室見動物病院およびA’alda Y株式会社では以下の対策を講じ、再発防止に努めてまいります。
- 委託先管理の強化:A’alda社から定期的な個人情報管理の報告を求め、必要に応じて改善を指導。
- 運用ルールの見直し:情報の取り扱いに関する社内規定の再整備と管理体制の強化。
- ダブルチェックの徹底:外部への情報送信時には、上司など複数名による確認を義務化。
- 従業員教育の強化:情報管理に関する研修を実施し、全従業員への周知とリテラシー向上を図る。
