福島県立医科大学附属病院、医療従事者が患者情報を第三者に共有し情報漏洩|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年05月01日更新日時: 2026年05月01日

2026年4月27日、公立大学法人福島県立医科大学附属病院（福島県福島市光が丘）は、同院に勤務する医療従事者が業務上知り得た患者1名に関する情報を、本来伝達すべきでない第三者に対して伝えていた事案が判明したとして謝罪と報告を公式サイトで公表しました。

同院は「本件を重く受け止め、関係法令および学内規定に基づき厳正に対処する」としており、現在も事実関係の確認と詳細調査を継続中です。

この記事のサマリー

福島県立医科大学附属病院に勤務する医療従事者1名が、業務上知り得た患者1名の個人情報を、本来情報を伝達すべきでない第三者に伝えていたことが判明しました。
患者のプライバシー保護の観点から、漏洩した情報の具体的な内容・当該医療従事者の職種・第三者が誰であるか・伝達の手段（口頭・メール・SNS等）については公表を差し控えるとしています。
事実関係の確認および詳細調査を進めており、関係法令・学内規定に基づき厳正に対処するとしています。
再発防止策として全職員への守秘義務・個人情報保護の再徹底および患者情報の管理体制全般の点検と改善の速やかな実施を表明しています。

1 事案の概要
2 医療機関における患者情報の「不適切な第三者への伝達」とは
3 今後の対応と再発防止策
4 情シス・医療機関のセキュリティ担当者へのポイント
5 よくある質問（FAQ）
- 5.1 参考情報

事案の概要

項目	内容
発生場所	公立大学法人福島県立医科大学附属病院
公表日	2026年4月27日
当事者	同院に勤務する医療従事者
漏洩対象	患者1名に関する情報
漏洩先	本来伝達すべきでない第三者
漏洩情報の詳細	プライバシー保護の観点から非公表
現在の対応	事実関係の確認・詳細調査を継続中

医療機関における患者情報の「不適切な第三者への伝達」とは

本件は「不正アクセス」や「サイバー攻撃」ではなく、医療従事者が業務上知り得た患者情報を本来伝えるべきでない相手に口頭・メール・SNS等で伝えたという内部不正（または過失）に分類されるインシデントです。

「本来有すべきではない第三者」という表現は、医療機関内の別部署・別職種の職員（患者の診療に直接関わらない者）の場合もあれば、医療機関の外部の知人・家族・メディア・SNSフォロワーなどを指す場合もあります。いずれであっても、患者が医療機関に情報を提供したのはあくまで診療目的であり、本人の同意なく第三者に伝達することは個人情報保護法上の目的外利用（第18条）または第三者提供の禁止（第27条）に該当する可能性があります。

医療従事者には資格に関する法律（医師法・保健師助産師看護師法等）によっても守秘義務が課されており、違反した場合は懲戒処分に加え刑事罰の対象となり得ます。

今後の対応と再発防止策

同院は以下の再発防止策を表明しています。

全職員への守秘義務・個人情報保護の再徹底として、今回の事案を受けて院内全体に対する教育・通知を実施します。患者情報の管理体制全般の点検と必要な改善の速やかな実施として、現在の情報管理プロセスを見直し、不適切な伝達が起きにくい体制を整備します。関係法令・学内規定に基づく厳正な対処として、調査結果に基づき当事者への処分等を行います。

同院は「このたびの事態を厳粛に受け止め、信頼回復に全力で取り組んでまいります」としています。

情シス・医療機関のセキュリティ担当者へのポイント

医療機関における患者情報の漏洩は、外部からのサイバー攻撃と並んで内部関係者による不適切な取り扱いが大きな割合を占めます。特に注意が必要な点として以下が挙げられます。

アクセス権限の最小化として、医療従事者が業務上アクセスできる患者情報の範囲を、担当患者または業務上必要な範囲に限定するアクセス制御の整備が基本です。アクセスログの監視として、誰が・いつ・どの患者情報にアクセスしたかを記録・監視する体制が、不適切なアクセスの抑止と事後調査の両面で機能します。守秘義務の定期的な確認として、入職時の誓約書取得に加え、定期的な守秘義務に関する研修と確認サインを実施することが推奨されます。