【緊急解説】医療機関で相次ぐ個人情報漏洩事件 - 吉備リハセンター事例から学ぶ効果的な対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

医療現場で起きた深刻な個人情報漏洩事件の実態
吉備リハセンターで発生した2つの重大事件
1. 事件1：理学療法士による患者情報の不適切な開示
2. 事件2：健診受診票の紛失事件
医療機関を狙うサイバー攻撃の実態
1. 実例1：県立病院でのランサムウェア攻撃
2. 実例2：クリニックでの患者データ大量流出
医療機関が今すぐ実施すべき5つのセキュリティ対策
個人でもできるセキュリティ対策
1. 在宅勤務時のセキュリティ対策
2. 個人情報の自己防衛
医療機関のセキュリティ投資は「コスト」ではなく「投資」
まとめ：医療機関のセキュリティは待ったなしの状況
一次情報または関連リンク

医療現場で起きた深刻な個人情報漏洩事件の実態

2025年8月29日、吉備高原医療リハビリテーションセンターで発生した個人情報漏洩事件が、医療業界に大きな衝撃を与えています。この事件は単なる「うっかりミス」では片付けられない、医療機関が抱える構造的なセキュリティ問題を浮き彫りにしました。

私がフォレンジックアナリストとして数多くの医療機関のインシデント調査に携わってきた経験から言えることは、今回のような事件は氷山の一角に過ぎないということです。実際に、医療機関での個人情報漏洩事件は年々増加傾向にあり、その被害規模も深刻化しています。

吉備リハセンターで発生した2つの重大事件

事件1：理学療法士による患者情報の不適切な開示

最も深刻だったのが、診療に直接関わらない第三者に患者の氏名や病状が伝わってしまった事件です。この事件の背景には、理学療法士の個人情報保護に対する認識不足があったとされています。

「ちょっとした雑談のつもりだった」―こうした軽い気持ちが、取り返しのつかない個人情報漏洩につながってしまうのです。私が過去に調査した類似事例では、何気ない会話から始まった情報漏洩が、患者の社会的信用失墜や精神的苦痛につながった深刻なケースもありました。

事件2：健診受診票の紛失事件

医事課で受け取った健診受診票が、仕分け作業中に誤って廃棄された可能性が高いとされる事件です。この受診票には以下の重要な個人情報が含まれていました：

氏名、生年月日、性別
患者ID、年齢
受診日、団体名
健診項目の計測結果

この事件で特に問題だったのは、必要・不要の書類を分ける際の確認体制が不十分で、ダブルチェック体制が機能していなかった点です。

医療機関を狙うサイバー攻撃の実態

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

医療機関は今や、サイバー犯罪者にとって最も魅力的なターゲットの一つとなっています。私がCSIRTメンバーとして対応してきた実際の事例を紹介しましょう。

実例1：県立病院でのランサムウェア攻撃

某県立病院では、職員が開いた不審なメール添付ファイルから院内システム全体にランサムウェアが感染。電子カルテシステムが3週間にわたって停止し、緊急手術の延期や外来診療の大幅制限を余儀なくされました。復旧費用は総額2億円を超え、患者からの損害賠償請求も相次ぎました。

実例2：クリニックでの患者データ大量流出

地方の整形外科クリニックでは、古いバージョンのソフトウェアを使用していたシステムが外部からの不正アクセスを受け、過去10年分の患者データ約8,000件が流出。流出したデータにはカルテ情報、診断画像、保険情報などが含まれており、クリニックは営業停止に追い込まれました。

医療機関が今すぐ実施すべき5つのセキュリティ対策

これまでの調査経験を踏まえ、医療機関が優先的に実施すべき対策を5つ挙げます。

1. 職員のセキュリティ意識向上研修の徹底

今回の吉備リハセンター事件のように、「人的ミス」による情報漏洩は非常に多く発生しています。定期的な研修だけでなく、実際の事例を用いたケーススタディ形式の教育が効果的です。

2. アクセス権限管理の厳格化

必要最小限の権限のみを付与する「最小権限の原則」を徹底しましょう。理学療法士が他の患者の診療情報にアクセスできない仕組み作りが重要です。

3. 文書管理プロセスの見直し

健診受診票の紛失事件を防ぐため、文書の取り扱いプロセスを根本から見直す必要があります。バーコード管理システムの導入など、デジタル技術を活用した管理体制の構築をおすすめします。

4. システムセキュリティの強化

医療機関のシステムは、外部からの攻撃に対して脆弱なケースが多く見られます。アンチウイルスソフトの導入は基本中の基本として、定期的な脆弱性診断も欠かせません。

特に、インターネットに接続されている医療機器やシステムについては、Webサイト脆弱性診断サービスを利用して定期的なセキュリティ診断を受けることを強く推奨します。

5. インシデント対応体制の整備

万が一の際の対応手順を明文化し、定期的な訓練を実施することが重要です。初動対応の遅れが被害拡大につながることが多いため、24時間体制での監視体制も検討しましょう。

個人でもできるセキュリティ対策

医療機関で働く方や、医療サービスを利用する患者の皆さんも、個人レベルでできる対策があります。

在宅勤務時のセキュリティ対策

医療従事者の方で在宅勤務をする際は、必ずVPN を使用して通信を暗号化しましょう。自宅のWi-Fiネットワークは公共のものより安全ですが、それでも十分な対策が必要です。

個人情報の自己防衛

患者の立場からも、自分の個人情報を守るための意識を持つことが大切です。診察券の管理や、医療機関での会話内容にも注意を払いましょう。

医療機関のセキュリティ投資は「コスト」ではなく「投資」

多くの医療機関経営者が「セキュリティ対策にそんなにお金をかけられない」と考えがちですが、これは大きな誤解です。実際のインシデント発生時のコストを考えれば、事前の対策費用は決して高いものではありません。

私が関わった事例では、セキュリティ対策を怠った結果、以下のような巨額の損失を被った医療機関もあります：

システム復旧費用：数千万円～数億円
業務停止による機会損失：月額数千万円
損害賠償費用：1件あたり数十万円～数百万円
信頼回復のための広告宣伝費：数千万円

これらの総額と比較すれば、適切なセキュリティ対策への投資は明らかに合理的な判断と言えるでしょう。

まとめ：医療機関のセキュリティは待ったなしの状況

吉備高原医療リハビリテーションセンターで発生した事件は、医療機関が直面するセキュリティリスクの深刻さを改めて浮き彫りにしました。しかし、適切な対策を講じることで、これらのリスクは十分に軽減できます。

重要なのは、セキュリティ対策を「面倒なもの」として捉えるのではなく、患者の信頼を守り、医療機関の持続的な発展を支える「投資」として位置づけることです。

今回の事件を教訓として、すべての医療機関がセキュリティ対策の見直しと強化に取り組むことを強く願っています。患者の大切な個人情報を守ることは、医療従事者としての基本的な責務なのですから。

一次情報または関連リンク

吉備高原医療リハビリテーションセンターの個人情報漏洩事件詳細