スウェーデン監督機関、精神科患者の個人データのウェブサイト掲載に対し制裁金 特別カテゴリーデータ処理の適法根拠と安全確保措置が不適切


スウェーデン監督機関は、精神科病院に入院した患者の機密性が高いデータが地域のWebサイトに掲載されていた件について、エレブロ郡地域保健委員会に対し12万スウェーデン・クローナ(約130万円)の制裁金を課すことを決定した。

同委員会は、一部の政治家や公務員のみが関連するWebサイト上に、召喚状や議事録の形で患者の個人データを掲載しており、公共の利益を処理の適法根拠としていた。本件では、センシティブ(機微)データである患者の個人データのWeb上での掲載について、書面ではなく口頭指示だけで手続が進められ、手続は文書化されていなかった。

患者のデータは誤って一般のWeb上に公開されたが、このことは、個人データが地域のWebサイトに誤掲載されないようにするための保健委員会による技術的・組織的安全確保措置が不十分であることを示しており、GDPR第32条に違反すると監督機関は指摘した。

また監督機関は、保健委員会がGDPRに基づく個人データ処理の適法根拠を欠いているとも指摘した。掲載された個人データには、患者の氏名、入院先病院、尿検査のデータや社会保障番号が含まれており、これらはGDPR第9条の機密データ(いわゆる「特別カテゴリーデータ」)に該当するものであり、同条が定める条件下でのみ処理が可能であるが、個人データの公開はその条件に該当しないとされた。合わせてGDPR第5条に定められる処理目的限定原則とデータ最小化原則の違反も認定された。

 

監督機関のプレスリリース
https://www.datainspektionen.se/nyheter/fel-publicera-kansliga-personuppgifter-pa-region-orebro-lans-webb/

処分決定書
https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-tillsyn-region-orebro-2020-05-11.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト