2026年6月9日付の「INTERNET Watch」が、
『北海道医療センター・北海道がんセンターで、患者の個人情報を含むHDDが外部に流通。廃棄処理業者が破砕せず』
と題した見出しの記事を報じていました。
以下に、この記事を要約し、情報漏洩の原因と北海道医療センターと北海道がんセンターが実施すべき対象患者への対応と信頼回復のために取るべき対応策、および、廃棄物処理業者が実施すべき再発防止策について、考察しました。
《記事の要約》
国立病院機構が運営する北海道医療センターと北海道がんセンターは、2026年6月8日に、電子カルテ更新に伴い廃棄を委託したハードディスク(HDD)の一部が適切に破砕処理されず、外部に流通していたことが判明したと発表した。
これにより、患者の個人情報が漏えいした可能性があるという。
両病院は、旧システムで使用していた端末の処分を外部業者に委託していた。
本来、端末内のHDDは物理的に破砕し、データを復元できない状態にして廃棄する契約だった。
しかし、実際には一部のHDDが破砕されないまま市場に流出していたことが発覚した。
回収されたHDDには、北海道医療センターで延べ176万件(実人数約17万人)、北海道がんセンターで延べ2万5000件(実人数約8800人)の患者情報が記録されていた。
情報には氏名、生年月日、住所、電話番号、診療歴、病名、検査結果、アレルギー情報、看護記録の一部などが含まれていた。
一方で、マイナンバーや銀行口座番号、クレジットカード情報は保存されていなかったとしている。
現時点では情報の不正利用は確認されていないが、病院側は情報漏えいの可能性を否定できないとして公表に踏み切った。
対象患者には個別連絡を進めている。
再発防止策として、今後は個人情報を含む記録媒体について院内で物理破壊を実施することを原則とする。
また、廃棄時には複数人による確認を義務付けるほか、外部委託先の選定や監査を厳格化するとしている。
今回の問題は、医療情報という極めて機微性の高い個人情報を扱う組織において、委託先管理の重要性を改めて浮き彫りにした事案となった。
(要約、ここまで)
《筆者の考察》
<情報漏洩の原因と病院・廃棄物処理業者が取るべき対応策>
今回の事案は、単なる情報漏洩ではなく、「医療情報」という最も機微性の高い個人情報が流出した可能性がある点で極めて重大である。
氏名や住所だけでなく、病名、診療履歴、検査結果、アレルギー情報などが含まれており、患者のプライバシーや人格権に深く関わる問題だからだ。
情報漏洩の直接原因は、廃棄処理業者が契約どおりにHDDを破砕処理しなかったことにあると考えられる。
仮に転売や再利用目的で市場へ流出させたのであれば、契約違反だけでなく、個人情報保護の観点からも極めて悪質な行為と言わざるを得ない。
しかし、病院側にも管理上の課題があった。
近年の情報セキュリティでは、「委託したから責任が移る」という考え方は通用しない。
委託先の選定、監査、処理完了確認まで含めて管理責任が求められる。
特に医療機関では、HDD破砕証明書の取得、破砕現場への立会い、写真や動画による証跡確認などが必要だっただろう。
北海道医療センターと北海道がんセンターが最優先で行うべきことは、対象患者への丁寧な説明である。
何が起きたのか、どの情報が漏えいした可能性があるのか、不正利用が確認された場合の相談窓口はどこかを分かりやすく説明しなければならない。
また、専用コールセンターの設置や長期間の相談受付も必要だろう。
信頼回復には「隠さないこと」が重要である。
原因究明結果を、第三者委員会などを通じて公表し、病院側の管理責任も含めて検証結果を明らかにすることが求められる。
一方、廃棄物処理業者(リプロワーク)にはより厳しい対応が必要だ。
まず全ての処理工程を再点検し、どの段階で破砕漏れや流出が発生したのかを究明する必要がある。
加えて、記録媒体専用の管理区域設置、入出庫管理の電子化、防犯カメラによる常時監視、処理証跡の保存などを徹底しなければならない。
ISOの観点では、これは典型的な「外部委託管理の失敗事例」である。
ISO9001やISO27001では、委託先も自組織のプロセスの一部として管理することが求められている。
リスクアセスメントを行い、「委託先が契約どおり処理しない」というリスクを想定し、予防措置を講じる必要があった。
情報漏洩事故では、技術的な問題よりも人的・組織的な管理不備が原因となるケースが少なくない。
今回の教訓は、情報セキュリティの最後の砦はシステムではなく、管理体制そのものであるという点にある。
病院と委託業者の双方が責任を果たし、再発防止を徹底しなければ、失われた信頼を取り戻すことは難しいだろう。
(※ 自分を変える“気づき”ロジカル・シンキングのススメ メルマガ1015号より)
【好評発売中!】
『サービス業のISO(設計・環境側面・危険源・気候変動)』(令和出版)2025年4月30日発売
『~マーケット・クライアントの信頼を高めるマネジメントシステム~ サービス業のISO (設計・環境側面・危険源・気候変動の実践ガイド)』 著:有賀正彦 - 令和出版
『できるビジネスマンのマネジメント本』(玄武書房)
https://www.amazon.co.jp/dp/4909566066/
【よかったらメルマガ読者登録お願いします♪】↓
(パソコンでアクセスしている方)
http://www.mag2.com/m/0000218071.html
(携帯でアクセスしている方)
http://mobile.mag2.com/mm/0000218071.html
Twitter:https://twitter.com/ariga9001