1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. 和歌山県橋本市民病院、看護学生実習中の電子カルテへの不正アクセスを公表-発覚から公表まで約8か月

和歌山県橋本市民病院、看護学生実習中の電子カルテへの不正アクセスを公表-発覚から公表まで約8か月

セキュリティニュース

投稿日時: 更新日時:

和歌山県橋本市民病院、看護学生実習中の電子カルテへの不正アクセスを公表-発覚から公表まで約8か月

2026年4月27日、和歌山県橋本市立の橋本市民病院(橋本市小峰台、病院長)は、2025年8月に実施した看護学生の実習中に電子カルテへの不正アクセスがあったと公式サイトで公表しました。調査の結果、現時点では個人情報の流出および不正アクセスに起因する二次被害は確認されていないとしています。

この記事のサマリー

  • 2025年8月の看護学生実習において、電子カルテの使用状況を確認したところ不正アクセスがあったことが判明しました。
  • 当該看護学校に対して聞き取り調査を実施し、個人情報の流出等の有無について調査を行いました。現時点で個人情報の流出・二次被害は確認されていません
  • 公表日(2026年4月27日)は実習時期(2025年8月)から約8か月後です。調査・確認に要した期間とみられますが、発覚から公表までの時間的経緯について詳細は明らかにされていません。
  • 公表では不正アクセスの具体的な内容(アクセスされた診療録の範囲・件数・看護学校名・アクセスした学生数等)は明示されていません。
  • 再発防止策として、看護実習時における電子カルテ使用に関するマニュアルの見直しおよび看護学校・看護学生への指導・教育の徹底が表明されています。

事案の概要

項目 内容
発生時期 2025年8月(令和7年8月)の看護学生実習中
内容 実習における電子カルテの使用状況を確認したところ不正アクセスが判明
対応 当該看護学校への聞き取り調査・個人情報流出等の調査を実施
個人情報流出の有無 現時点で確認されていない
二次被害の有無 現時点で確認されていない
公表日 2026年4月27日(令和8年4月27日)
発生から公表までの期間 約8か月

注目すべきポイント——約8か月のタイムラグ

本件で特に注目すべきは、不正アクセスが発生した2025年8月から公表された2026年4月まで約8か月を要していることです。

公表文では「令和7年8月に実施した看護学生の実習における電子カルテの使用状況を確認したところ、不正アクセスがあったことが判明いたしました」と記載されており、いつ・どのような経緯で「使用状況の確認」が行われたかは明示されていません。

個人情報保護法では、個人情報の漏洩等が生じた場合(または疑われる場合)、個人情報保護委員会への速報は事態認識から3〜5日以内、確報は60日以内が求められています。本件では外部流出が確認されていないため法的な報告義務の要件に該当しない可能性がありますが、それでも関係患者への通知や公表の時期については適切な判断が求められます。

電子カルテへの「看護学生による不正アクセス」とはどのような問題か

医療機関における看護学生実習では、患者の診療情報(電子カルテ)へのアクセスが業務上必要となる場合があります。しかし電子カルテへのアクセスは患者の同意と担当医師・指導者の管理下において、実習目的の範囲内に厳格に限定される必要があります。

「不正アクセス」とは、この範囲を超えたアクセスを指します。具体的には、担当外の患者の診療記録の閲覧、実習の業務目的を超えた閲覧範囲の拡大、業務システムへの不正操作、アカウントの共有・貸し借りなどが代表的なパターンです。

医療情報は個人情報の中でも特に要配慮個人情報(センシティブ情報)に分類されます。病名・処方内容・検査結果・治療歴等が含まれる電子カルテへの不正アクセスは、患者の意思に反したプライバシーの侵害となります。

再発防止策の課題——マニュアルと教育だけで十分か

橋本市民病院は再発防止策として「看護実習時における電子カルテ使用に関するマニュアルの見直し」と「看護学校および看護学生に対する指導・教育の徹底」を表明しています。

これらは重要な対策ですが、医療機関の実習における電子カルテ不正アクセスを防ぐためには、技術的な統制も合わせて整備することが推奨されます。実習学生に付与するアカウントの権限を業務上必要な最小限に限定するアクセス制御の強化、どの患者情報に・いつ・誰がアクセスしたかを記録・監視するアクセスログの定期確認体制の整備、担当患者以外の診療録へのアクセス試行があった場合の自動アラート設定、実習前の誓約書取得と個人情報保護教育の記録化が主な技術・運用上の対策となります。

「マニュアルと教育」に加えて「アクセスログ監視とアクセス制御」を組み合わせることで、人間の意識に依存するだけでなく技術的な歯止めを設けることができます。

情シス・セキュリティ担当者へのポイント

医療機関で実習を受け入れる場合、学生・研修生のアクセス権限管理は特に注意が必要なポイントです。

正規の職員と同等のアクセス権を付与している場合、実習終了後のアカウント無効化の漏れ・担当範囲を超えたアクセスの見落としが発生しやすい状況にあります。実習学生向けの専用アカウント(閲覧権限を担当患者のみに限定したもの)の整備と、実習期間限定の有効期限設定が基本的な対策です。

▶ 関連記事:1人の従業員のミスが引き起こすインシデント——事例と対策【保存版】

参考情報

関連記事

中央大学・中央大学ビズサポート、代表取締役社長や組織名を騙るなりすましメールへの注意喚起中央大学・中央大学ビズサポート、代表取締役社長や組織名を騙るなりすましメールへの注意喚起 TSMC元エンジニア4名に最長10年の実刑-2nm 先端技術の営業秘密漏洩で 東京エレクトロン 子会社に約7億円の罰金TSMC元エンジニア4名に最長10年の実刑-2nm 先端技術の営業秘密漏洩で 東京エレクトロン 子会社に約7億円の罰金 福島県立医科大学附属病院、医療従事者が患者情報を第三者に共有し情報漏洩福島県立医科大学附属病院、医療従事者が患者情報を第三者に共有し情報漏洩 サインド(4256)、BeautyMeritへの不正アクセス-情報持ち出し・バックドアの痕跡なしサインド(4256)、BeautyMeritへの不正アクセス-情報持ち出し・バックドアの痕跡なし ボンフォームオンラインストア、サイバー攻撃でクレジットカード 情報 3,268名分が漏洩のおそれボンフォームオンラインストア、サイバー攻撃でクレジットカード 情報 3,268名分が漏洩のおそれ 日テレ社長、「ZIP!」新人スタッフのSNS情報漏洩を謝罪-4月1日の研修直後に入構証・出演者資料・シフト表が流出日テレ社長、「ZIP!」新人スタッフのSNS情報漏洩を謝罪-4月1日の研修直後に入構証・出演者資料・シフト表が流出 東京計器(7721)、フィッシングによるChatworkへの不正アクセスを公表-影響範囲は調査中東京計器(7721)、フィッシングによるChatworkへの不正アクセスを公表-影響範囲は調査中 公益財団法人B&G財団、サーバーへのマルウェア攻撃によるシステム障害公益財団法人B&G財団、サーバーへのマルウェア攻撃によるシステム障害 Default Thumbnailマネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性