JR仙台病院で発覚した個人情報漏えいの可能性
2026年2月、宮城県仙台市にあるJR仙台病院で、患者の個人情報が保存されたパソコンおよびSSDが紛失していたことが発覚し、大きな波紋を広げています。今回のインシデントでは最大6,639人分の患者情報が外部に漏えいした可能性があるとされています。医療機関における情報管理の重要性が改めて問われる事態となりました。
発表によると、問題が発覚したのは2026年2月3日でした。病院職員が廃棄予定となっていたパソコンのデータ削除作業を進めていたところ、複数の端末が正常に起動しないことに気づいたのです。詳しく確認した結果、その端末からSSDやバッテリーが取り外されている状態であることが判明しました。さらに調査を進めたところ、端末そのものが所在不明になっているケースも見つかり、院内の端末管理に重大な問題が発生していることが明らかになったのです。
医療機関は極めて機微な個人情報を扱う場所です。氏名や患者ID、診療内容などの情報は、個人のプライバシーに直結するだけでなく、社会的信用にも影響を与える可能性があります。そのため今回のような物理媒体の紛失は、単なる機器管理の問題にとどまらず、医療機関の信頼そのものに影響する重大なインシデントといえるでしょう。
廃棄予定のパソコンからSSDが消えていた
今回の問題の特徴は、廃棄予定だった機器から発生したインシデントである点です。JR仙台病院では、院内で使用していたパソコン358台を廃棄する予定で一時保管していました。保管場所は病院内の空調管理室で、機器はまとめて管理されていたとされています。
しかし2026年2月のデータ削除作業の段階で、端末の状態を確認すると異常が見つかりました。調査の結果、358台のうち3台のパソコン本体が所在不明となっており、さらに5台分のSSDが取り外されていたことが判明しました。また2台の端末ではSSDだけでなくバッテリーまで取り外されていた状態だったとされています。
SSDはパソコンの内部にある記憶装置で、データを保存する役割を持っています。もしこのSSDが第三者の手に渡った場合、保存されていた情報を読み出される可能性があります。データが完全に消去されていない状態であれば、専門的なツールを使って復元されるケースもあり得るため、情報漏えいのリスクは決して小さくありません。
今回のインシデントは、廃棄処理の前段階で機器が不正に持ち出された、あるいは盗難に遭った可能性が指摘されています。通常、企業や医療機関では廃棄する機器のデータを完全消去したうえで処分しますが、今回のケースではデータ削除作業より前の段階で機器が消失していたことになります。
保存されていた個人情報の内容
問題となったSSDには、患者の個人情報が含まれる複数のデータが保存されていました。その内容は医療現場の業務資料であり、通常は院内でのみ管理される情報です。
保存されていた情報には、褥瘡(床ずれ)の患者リストに関するデータが含まれていました。このリストには氏名、入院病棟、褥瘡の部位や経過、疾患名などの情報が含まれており、2021年4月から2025年5月までの患者136人分の情報が記録されていたとされています。
さらに、身体拘束最小化リストに記載された患者の情報も含まれていました。このデータには患者IDや認知症レベル、診療科、身体拘束の有無などが含まれており、2025年4月から6月までの83人分の情報が保存されていました。
最も多かったのは、診療時間外窓口を利用した患者の記録です。2016年から2025年にかけて時間外窓口を利用した患者の一部、合計6,420人分の氏名や患者ID、受付日時、預かり金の有無などが記録されていました。
合計すると、これらの情報は6,639人分にのぼります。医療情報は非常に機微性の高い情報であり、特に疾患名や身体拘束の有無といった情報は個人の尊厳に関わる重要な情報です。そのため今回の紛失は社会的にも大きな関心を集めました。
ただし病院側の説明では、マイナンバーや生年月日、住所、電話番号、金融情報などは含まれていないとされています。
窃盗事件として発展した今回のインシデント
この事件は単なる紛失ではなく、窃盗事件として捜査が進められることになりました。報道によると、病院に出入りしていた空調関連会社の男性が「自分が犯人だ」と関係者に打ち明けたうえで警察に出頭し、窃盗の疑いで逮捕されたとされています。
この男性は病院の設備関連業務で出入りしていた人物であり、内部の環境にある程度アクセスできる立場にありました。警察の捜査では、男性の自宅から複数台のパソコンが押収されたという報道もあり、今回の事件が単独の窃盗なのか、それとも他にも同様の被害が存在するのかについても調査が続いています。
重要なのは、この事件がいわゆるサイバー攻撃ではなく、物理的な盗難によって発生した情報漏えいリスクだという点です。近年はランサムウェアなどのサイバー攻撃が注目されがちですが、実際の情報漏えいは物理媒体の紛失や内部不正から発生するケースも少なくありません。
医療機関の情報管理が抱える課題
医療機関は膨大な個人情報を扱うため、情報管理体制の整備が非常に重要です。電子カルテや医療システムのセキュリティ対策は進んでいますが、今回のような物理媒体の管理は見落とされがちな領域でもあります。
特に問題になりやすいのが「廃棄プロセス」です。企業や病院では、古いパソコンをまとめて保管した後に廃棄処理を行うことがあります。しかし、この期間に機器が持ち出されたり、内部部品が抜き取られたりするリスクは決してゼロではありません。
また、医療現場では業務の効率化を優先するあまり、データがローカル端末に保存されているケースも存在します。もし重要なデータがサーバーではなく端末内に保存されていた場合、今回のように端末が紛失するだけで情報漏えいの可能性が生じてしまいます。
今回のインシデントから見えるセキュリティの盲点
今回の事件は、医療機関に限らず多くの組織に共通するセキュリティの盲点を示しています。それは「物理的セキュリティ」と「運用管理」です。
企業の情報セキュリティ対策というと、ファイアウォールやアクセス制御、暗号化などのIT対策に注目が集まりがちです。しかし、実際には端末の持ち出し、USBメモリの紛失、廃棄機器の管理など、物理的な管理ミスが原因となる情報漏えいは数多く発生しています。
特に医療機関では、患者情報の取り扱いが日常業務の中で行われるため、セキュリティ対策が形骸化してしまう危険もあります。業務の利便性と情報管理の厳格さのバランスをどう取るかは、医療機関にとって大きな課題となっています。
再発防止に求められる対策
JR仙台病院は今回の件について、個人情報保護委員会への報告と警察への事象報告を行い、捜査に全面的に協力するとしています。また対象患者には個別に連絡を行い、不審な連絡に注意するよう呼びかけています。
今後の再発防止策として、情報管理体制の見直しやセキュリティ強化を進める方針も示されています。特に廃棄予定機器の管理やデータ消去のプロセスについては、より厳格な運用が求められることになるでしょう。
企業や医療機関においては、端末内のデータを暗号化する、ローカル保存を禁止する、廃棄機器を厳重に管理するなど、複数の対策を組み合わせることが重要です。さらに内部関係者や外部業者のアクセス管理も含めた包括的なセキュリティ体制が必要になります。
医療情報の信頼を守るために
医療機関にとって患者の信頼は何よりも重要です。診療の内容や健康状態といった情報は、患者が安心して医療を受けるための基盤でもあります。その情報が漏えいする可能性があるというだけで、医療機関の信頼は大きく揺らぎます。
今回のJR仙台病院のインシデントは、医療機関の情報管理における弱点を浮き彫りにしました。高度なサイバー攻撃ではなく、廃棄予定機器という日常業務の中で発生した出来事だったという点は、多くの組織にとって重要な教訓となるでしょう。
今後、医療機関だけでなく、企業や自治体などすべての組織が「情報はデータだけでなく媒体ごと守る必要がある」という認識を改めて持つ必要があります。デジタル社会が進むほど、情報管理の責任もまた重くなっていくのです。
コメント