في 2 نوفمبر 2022، أصدرت لجنة حماية المعلومات الشخصية في اليابان تقريرًا حول تعامل شركة ستار جابان المحدودة مع المعلومات الشخصية المستمدة من مقاطع الفيديو الجراحية، وتخزينها، ومشاركتها، وإدارتها الشاملة لها. وبعد رصد تباينات في ممارساتها، أجرت اللجنة مراجعة مماثلة لممارسات 60 مؤسسة طبية أخرى فيما يتعلق بمقاطع الفيديو الجراحية.
يلتزم موظفو شركة ستار جابان بموجب عقودهم بالحصول على فيديوهات العمليات الجراحية. ومن المفترض أن تُستلم هذه الفيديوهات دون تضمين أي معلومات تُعرّف بالأفراد. إلا أنه نتيجة لعدة عوامل، منها غياب الإشعارات الداخلية وخطة إدارة مُخصصة للتعامل مع هذه الفيديوهات، تم تسريب بيانات شخصية للمرضى، مثل أسمائهم. وتشمل المؤسسات الطبية التي تُقدم فيديوهات العمليات الجراحية مؤسسات تتعامل معها كبيانات شخصية، وأخرى لا تفعل ذلك، وبالتالي لا تُدير الفيديوهات كمعلومات شخصية دون إنشاء قاعدة بيانات.
والأهم من ذلك، أنه لم يتم الحصول على موافقة صريحة من المرضى قبل تصوير هذه الفيديوهات، مما يسلط الضوء على النقص العام في تدابير إدارة السلامة المناسبة. إضافةً إلى ذلك، قام الأطباء (وهم موظفون في كل مؤسسة طبية) بتزويد شركة ستار جابان المحدودة بفيديوهات العمليات الجراحية دون إذن من المؤسسة الطبية التي تحتفظ بالبيانات الشخصية للمرضى.
تم إصدار التوجيهات التالية لشركة ستار جابان بعد تحديد المشكلة المذكورة أعلاه:
- في المستقبل، وقبل جمع البيانات الشخصية للمستخدمين، يجب عليهم تحديد الغرض من جمعها، والاستخدامات المحتملة، وإخطار المستخدمين بشكل مناسب عند مشاركة أي بيانات مع أطراف ثالثة؛
- عند مشاركة بيانات المستخدمين مع جهات خارجية، يجب على المؤسسة ضمان تطبيق تصميم نظام مناسب وتحديد ما إذا كانت البيانات المُشاركة تحتوي على أي بيانات شخصية. وفي حال وجودها، يجب أن تتوافق أي مشاركة لهذه البيانات مع المتطلبات المنصوص عليها في قانون حماية المعلومات الشخصية لعام 2020.
الآثار الرئيسية على المؤسسات الأخرى
وبناءً على تعليماتها لشركة ستار جابان، يتضمن إشعار لجنة حماية البيانات الشخصية أيضًا توصيات وإرشادات عامة لسبع مؤسسات طبية تدير مقاطع الفيديو الجراحية كجزء من البيانات الشخصية التي يتم جمعها من مستخدميها:
- يجب الحصول على موافقة المستخدمين بشكل صحيح قبل أن تتمكن أي منظمة من مشاركة هذه البيانات مع طرف ثالث، ويجب إنشاء أنظمة مناسبة للحصول على تلك الموافقة؛
- يجب على موظفي المؤسسات الطبية (الأطباء والممرضات وما إلى ذلك) عدم مشاركة البيانات الشخصية مع أطراف ثالثة دون إذن من المؤسسة؛
- يجب على المنظمات ضمان اتخاذ تدابير كافية للتحكم في السلامة للإشراف على الموظفين بشكل مناسب وإجراء التغييرات ذات الصلة في برامج تدريب الموظفين لتثقيف الموظفين الجدد وفقًا لذلك.
كما تم تحذير المؤسسات الطبية الأخرى من أن الوكالة ستجري تحقيقاً أكثر دقة في المستقبل، وستجمع كافة المعلومات اللازمة، وستتخذ الإجراءات المناسبة لاحقاً. وتنصح الوكالة المؤسسات الطبية باتخاذ خطوات لإنشاء نظام لإدارة البيانات يُنشئ فهرساً دقيقاً لأنواع البيانات التي يتم جمعها وشكلها.
كيف يمكن Securiti يساعد
أحد الأسباب الرئيسية التي جعلت شركة ستار جابان وغيرها من المؤسسات الطبية تقع في مثل هذا الموقف هو افتقارها إلى بنية تحتية مناسبة لإدارة البيانات. فقد كانت تجمع بيانات تُصنّف ضمن فئة البيانات الشخصية دون أن تدرك ذلك.
وتتفاقم هذه المشكلة بسبب حجم البيانات حيث تم إنشاء وتخزين مئات من مقاطع الفيديو هذه دون أي إشعارات داخلية مناسبة أو نظام إدارة يتعلق بتخزينها واستخدامها بما يتوافق مع APPI.
Securiti تُعدّ الشركة رائدةً في توفير حلول امتثال البيانات وحوكمتها، ما يُساعد المؤسسات على الامتثال بفعالية لالتزامات البيانات التي تفرضها عليها APPI. بفضل منتجات مثل sensitive data intelligence واكتشاف الأصول والبيانات ، لا تستطيع المؤسسات فقط العثور على البيانات الشخصية والحساسة في أنظمة البيانات المنظمة وغير المنظمة، بل يمكنها أيضًا الحصول على رؤى حول من كان لديه حق الوصول إلى هذه البيانات، مع إمكانية وضع سياسات تُنظّم صلاحيات الوصول إليها.
اطلب عرضًا تجريبيًا اليوم وتعرف على المزيد حول كيفية Securiti يمكننا مساعدتك في الامتثال لقانون حماية المعلومات الشخصية (APPI) وأي لوائح بيانات عالمية أخرى.
