リゼクリニックは2026年4月17日、LINE配信システムに対する不正ログインにより、LINEに関する一部の患者情報が外部へ流出した可能性があると公表しました。流出の可能性があるのは、LINE上の表示名、LINEを登録した院名、興味のあるキャンペーン情報に加え、リゼクリニックとの1対1トーク履歴の一部です。あわせて、2026年4月9日8時55分ごろから9時40分ごろにかけて、1アカウントあたり4通から5通の不審なメッセージが配信されたことも明らかにしています。
何が起きたか
今回の事案は、LINEアプリそのものではなく、リゼクリニックが利用していたLINE配信システムに第三者が不正ログインしたものです。
同社によると、この不正ログインにより、システム上で取得可能だった患者情報の一部が流出した可能性があるほか、リゼクリニックとの1対1トーク履歴の一部も閲覧されたおそれがあります。また、同じ不正ログインを通じて、不審なメッセージが患者側へ配信されました。現時点では、そのメッセージ内のリンクにアクセスした場合の影響は調査中ですが、リンク先に起因するウイルス感染などの被害報告は確認されていないとしています。
対象外の院も明示されており、横浜院、川崎院、郡山院、いわき院、盛岡院、青森院、八戸院の患者は今回の対象外だとしています。つまり、リゼクリニック全院一律の影響ではなく、院ごとに利用していた配信環境や設定範囲に差があった可能性があります。
漏えいの可能性がある情報
今回、流出した可能性があるとされたのは、LINE配信システム上で扱っていた情報に限られます。具体的には、LINE上の表示名、LINEを登録した院名、興味のあるキャンペーン情報、そして1対1トーク履歴の一部です。
一方で、LINEアプリ自体のパスワードやLINE ID、カルテに登録されている氏名、電話番号、生年月日、性別、住所、クレジットカード情報などは、LINE配信システム内に保存されていないため、流出した可能性は認められていないと説明しています。
この点は利用者にとって重要です。今回の影響は、医療機関の本体システム全体から患者情報が漏れたという説明ではなく、LINE配信システム上に存在した範囲の情報に限定して評価されているためです。ただし、1対1トーク履歴には相談内容が含まれ得るため、氏名などの基礎情報とは別のセンシティブな情報が含まれる可能性には注意が必要です。これは公表文が ご相談内容 と表現している点からも読み取れます。
今後の対応
リゼクリニックは、外部専門機関の助言に基づき、LINE配信システムへのIPアクセス制限など必要な措置を実施したとしています。また、このシステムに限らず、外部専門機関の協力を得ながら全社的なセキュリティ強化を進める方針です。さらに、個人情報保護委員会などの関係機関にはすでに報告済みで、警察にも被害申告を予定しているとしています。今後の調査で進展があった場合は、対象者への連絡とコーポレートサイトでの告知を行う方針です。
情報システム部門が見るべきポイント
今回の事案は、医療情報システム本体ではなく、周辺のメッセージ配信基盤が侵害されても、患者とのやり取りや行動関心情報が漏えい対象になり得ることを示しています。特にLINEのような外部プラットフォーム連携は、予約案内や販促だけでなく、個別相談の窓口にも使われることが多いため、トーク履歴をどこまで保存し、どの運用事業者や配信システムが触れられるのかを見直す必要があります。今回、基幹カルテ情報は対象外とされた一方で、相談履歴の一部は閲覧されたおそれがあるとされた点は、周辺SaaSやCRM連携の管理が本体システムと同等に重要だと示しています。
関連記事
医療業界向け出版企業 メディカ出版、ランサムウェアで個人情報漏洩の恐れ
マツダ、倉庫業務システムへの不正アクセスで従業員の個人情報漏洩の恐れ
モリテックスチール、開発再委託先への不正アクセスで個人情報漏洩の恐れ
時事通信フォト、ウェブサイトで不正ログインの可能性
ハッカーが日本の運転免許証など2万件超を販売か-eKYC関連から個人情報漏洩の恐れ
FBI、イラン 関連 ハッカーの4ドメインを押収-米医療機関へのサイバー攻撃・脅迫工作の実態
千葉大学、Microsoft 365アカウントへの不正アクセス-学生アカウントから630件の迷惑メールが送信
太陽工業、2024年に発生した不正アクセスによるサイバー攻撃で情報漏洩の恐れ
アーキテクト・ディベロッパー、いえらぶCLOUDへの不正アクセス 被害を公表
