企業における個人情報の保護が重視され，情報セキュリティマネジメントとして漏洩事件のリスクアセスメントが必要となっている．これまで，漏洩事件の被害について，技術的対応や顧客対応などの直接的費用は算定可能であるが，信頼性の低下による長期的な売上減少やブランド価値の下落は計り知れないと言われてきた．本研究では，イベントスタディの研究方法を用いて，

更生相談所は，身体障害者福祉法及び知的障害者福祉法に設置根拠を有する行政機関であり，医療法に基づく無床診療所に該当する。今回我々は，2017年度から新たに医療安全管理指針を作成し，既存の労働安全衛生委員会に加えてインシデント・アクシデントレポートによる報告制度を導入した。本報告では，導入後1年間の事例を調査・集計し，過去の事故事例と合わせた検討を行った。指針導入から1年間で，インシデント10件，アクシデント1件の計11件の報告があった。そのうち，過去の事故報告で多く見られた転倒等の身体的事故例はなく，情報セキュリティーに関する報告が8件と最多だった。報告された事例は全件職員間で共有され，再発防止策の検討・周知がなされた。更生相談所においても，医療安全管理指針の作成およびインシデント・アクシデントレポート導入は，情報セキュリティー対策を含めた安全文化の醸成につながり，有効な取り組みだった。

　個人情報保護法全面施行に際して各医療機関は取得目的、利用目的、共同利用者の提示を行い、取得した情報の安全管理と廃棄などの規定を明確化してきた。しかしその後も、医療現場において様々な課題が判明してきた。漏洩事例をみると利用目的内に限られているはずが医師の転勤や開業時の患者情報の不正な外部への持ち出し行為も発生した。入職時に限らず、退職に際しても個人情報保護の誓約が必要なことが感じられる。安全管理については「うっかりミス」を含め不正アクセスを含めた情報漏洩対策が必要であるが、これらは持ち出しを前提にした管理対策が必要である。第三者提供についても、個人情報のコントロール権が患者側に移行したことによる混乱も一部発生した。大災害時の情報提供や警察の捜査照会に対する回答拒否事例を受けて、厚生労働省などの問答集なども改定を要した。

　時代とともに個人情報保護対策は常に変化するので、教育が重要である。また保持する個人情報の開示という点で開示請求に対する速やかな対応が必要とされるが、その際には診断・治療・ケアなどの根拠は記録内容でしか理解できないので、記録のあり方についても十分な教育と実践が必要とされることが現実味を帯びてくると考えられる。

　個人情報の取得と利用に関して定められたルールを守り、医療内容に関して患者本人や家族との良好な関係構築のために個人情報保護法を有効に活用することが期待される。

第４次産業革命に突入したといわれる近年、情報システム化実践の変化によりビジネスのあり方を大きく変容させた。そして、システム監査のあり方に大きく影響し、多様化の方向に向かっている。

その一方で、予測もできないコンピュータ事故や犯罪が激増し、情報システムの安全対策や信頼性の向上対策について強く求められるようになった。それ故に、実効ある情報セキュリティ対策やリスク対策等の向上とともに、対策の実効性を高めるシステム監査の普及が求められている。

筆者はシステム監査を研究するなかで、特にシステム監査のあり方に大きく影響を及ぼしたと考える近年のコンピュータ事故や犯罪等を取り上げて、システム監査との関わりについて考察するとともに、その問題点について筆者の視点で論述した。

個人データの集中管理とは, 管理者が多数の個人のデータをまとめて管理することであり, これによって多数の個人のデータが一挙に活用されたり漏洩したりし得る。一方, 個人データの分散管理とは, 個人または代理人が本人分のデータのみを管理することであり, 一挙に利用されたり漏洩したりするデータは１人分に限られるので, セキュリティが高い。個人が本人のデータを電子的に蓄積して他者と安全に共有し活用するための仕組みをPDS (個人データ保管庫)と言う。個人はPDSによって自らの利益を高めるように自分のデータを活用することができ, こうしてB2Cサービス全体の社会的価値も向上する。 PDSにも集中型のものと分散型のものがあり, 分散PDSの方がセキュリティと利便性が高い。分散PDS にもサーバ主導のものと個人端末主導のものがあるが, PLR (個人生活録)は個人端末主導の分散PDSであり, 個人端末もサーバ側の仕組みもすでにコモディティになっているものを使うので, 導入・運用コストが非常に小さい。マーケティング, 電力小売の自由化, マイナンバー, スーパーハイビジョン放送, 医療制度改革等に伴う個人データの安全・安価な管理と活用に対するニーズの高まりがPLRのような分散PDSを普及させる契機になるものと考えられる。

マルウェア感染端末（以下感染端末と呼ぶ）による