1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 藤田医科大学病院でサポート詐欺を起点に患者1,365件の個人情報漏洩のおそれ

藤田医科大学病院でサポート詐欺を起点に患者1,365件の個人情報漏洩のおそれ

セキュリティニュース

投稿日時: 更新日時:

藤田医科大学病院でサポート詐欺を起点に患者1,365件の個人情報漏洩のおそれ

2026年6月3日、藤田医科大学病院(病院長:今泉和良、愛知県豊明市)は、同院に勤務する看護師の個人所有ノートパソコンがサポート詐欺の被害に遭い、患者1,365件分の個人情報が外部に漏洩した可能性があると公表しました。

最大のリスクは、漏洩した情報に末期腎不全・腹膜透析・腎代替療法指導を受けた患者の病名・患者ID・検査データという要配慮個人情報が含まれている点です。患者情報は個人情報保護法が特別に保護する要配慮個人情報であり、病名の漏洩は患者の社会的・経済的不利益に直結する可能性があります。

さらに今回の事案が深刻なのは、患者情報の流出源となった個人PCへの情報保存が院内規程に反した行為であったことです。

在宅業務や持ち帰り作業の増加を背景に、医療機関における個人所有デバイス(BYOD)での業務データ管理が構造的なセキュリティ上の脆弱点になっていることを示しています。現時点で情報の不正利用は確認されておらず、病院本体の医療情報システムへの影響もありません。本記事では事案の詳細・個人PCへの患者情報保存という問題構造・情報システム担当者が医療機関の事例から学ぶべき教訓を解説します。

サマリー

  • 2026年6月3日、藤田医科大学病院が公式発表。看護師の個人所有ノートパソコンがサポート詐欺に遭い、患者1,365件分の個人情報が漏洩した可能性
  • 漏洩の対象は要配慮個人情報を含む。末期腎不全・腹膜透析・腎代替療法指導を受けた患者の氏名・性別・生年月日・患者ID・病名・転帰・入退院日・検査データ
  • 住所・電話番号・メールアドレス・マイナンバーカード・クレジットカード情報は含まれない
  • 根本的問題:看護師が院内規程に反して個人PCに患者情報を保存していた。個人PC対象の不正アクセスが患者情報漏洩に直結した
  • 2026年5月25日に被害発生。看護師が5月30日に専門業者の指摘を受けて初めて病院へ報告——発生から報告まで5日間の空白
  • 5月28〜30日に身に覚えのないクレジット請求・携帯電話アカウント変更メールが届くという二次被害の兆候があった
  • 現時点で情報の不正利用等は確認されておらず、病院本体の医療情報システムへの影響もなし
  • 全職員への個人情報保護教育・再発防止策を実施予定

事案の詳細—サポート詐欺が個人情報漏洩の引き金に

藤田医科大学病院の公式発表によれば、事案の経緯は以下のとおりです。

5月25日、当該看護師は自宅で個人所有のノートパソコンを使ってウェブサイトを閲覧していたところ、突然警告音とともに個人PC上に警告表示が出現し画面が停止しました。表示された連絡先に電話すると、指示に従って送られたURLにアクセスするよう誘導され、これにより個人PCへの不正侵入が発生しました。その後、第三者による遠隔操作を受け、「ウイルス駆除費用」の名目で金銭が請求されました。

5月28日〜30日にかけて、看護師の元に身に覚えのないクレジットカード請求や携帯電話アカウントの変更に関するメールが届きました。これは遠隔操作中に認証情報が窃取され、不正利用が試みられたことを示す二次被害の兆候です。

5月30日、看護師が独自に専門業者へ調査・復旧を依頼したところ、詐欺被害および情報漏洩の可能性を指摘され、同日初めて病院へ報告しました。

5月31日〜6月1日、病院の情報システム管理部門が漏洩状況の調査を開始。サポート詐欺の被害は個人PCのみにとどまっており、カルテを含む病院本体のシステムへの影響はないことが確認されました。

漏洩のおそれがある個人情報—要配慮個人情報の深刻さ

公式発表が示す漏洩対象の情報は、個人情報保護法において特別な保護が求められる「要配慮個人情報」を含んでいます。

対象患者は3つのカテゴリーに分かれます。2024〜2025年に末期腎不全の病名登録がある一部の患者、2004〜2025年に腹膜透析を受けた一部の患者、2021〜2024年に腎代替療法指導を受けた一部の患者です。これらの患者について、氏名・性別・生年月日・患者ID・病名・転帰・入退院日・検査データのうち複数の項目を含む情報が漏洩のおそれがあります。なお最古の記録は2004年(腹膜透析)からとされており、20年以上にわたる診療データが個人PCに蓄積されていたことになります。

個人情報保護法が定める要配慮個人情報とは「本人に対する不当な差別・偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」として、病歴・健康情報が明示的に含まれます。末期腎不全・腹膜透析という具体的な疾患名と患者の個人識別情報が組み合わさることで、保険加入の審査・就職活動・社会的関係における不利益を生じさせる可能性があります。

一方で住所・電話番号・メールアドレス・マイナンバーカード・クレジットカード情報は含まれていないとされており、これらを利用した直接的な金銭被害のリスクは限定的と考えられます。

最大の問題点—「院内規程に反した」個人PCへの患者情報保存

今回の事案で最も重大な問題として強調すべきは、サポート詐欺それ自体ではなく、院内規程に反して患者の個人情報が個人PC に保存されていたという前提の問題です。

公式発表は「院内規程に反して患者様の個人情報を個人用パソコンに保存していた」と明確に記述しています。これは看護師が悪意を持っていたわけではなく、業務上の利便性から患者データを個人デバイスに持ち出した可能性が高いです。しかし規程に反する行為であった以上、組織としての情報管理の問題でもあります。

医療機関において個人PCへの患者情報の持ち出しが発生する背景には、以下の構造的要因が考えられます。第一に、在宅業務・オンコール対応・勉強・レポート作成などの業務上の必要性から、患者情報を職場の外で参照したいニーズが存在します。第二に、業務用デバイスの台数・持ち出し手続き・VPNアクセス等の整備が追いついておらず、個人デバイスの方が利便性が高いという現実があります。第三に、規程の周知・遵守徹底が不十分で、違反行為が長期にわたって発覚しなかった可能性があります。

この構造的問題を解決しないまま、セキュリティ研修だけを実施しても再発防止の実効性は限定的です。

発生から病院報告まで5日間の空白—インシデント報告遅延のリスク

今回の事案には情報セキュリティの観点から重要なもう一つの問題があります。被害発生日(5月25日)から病院への報告日(5月30日)まで5日間の空白があった点です。

看護師は5月28〜30日に二次被害の兆候(不審なクレジット請求・携帯アカウント変更メール)を受け取っていたにもかかわらず、5月30日に専門業者への独自調査依頼を行い、その指摘を受けて初めて病院に報告しています。病院への報告が遅れた間、漏洩した患者情報の不正利用が進行していた可能性を排除することはできません。

個人情報保護委員会への報告義務は個人情報保護法において「当該個人情報取扱事業者が当該事態を知った時から原則3〜5日以内」とされています。病院側が知った時点(5月30日)からの起算であるためこの期限は守られていると考えられますが、現場レベルでの「インシデントが疑われる時点での即時報告」という行動規範の徹底が不十分であったことが、今回の対応遅延の根本原因です。

医療機関における個人PCでの患者情報管理という構造的リスク

藤田医科大学病院のケースは、今日の医療機関が広く抱える私物デバイスの業務利用の問題を鮮明にしています。

医療従事者は患者の生命に直結する業務に従事しており、緊急時・夜間・在宅での情報参照ニーズが発生しやすい職種です。一方で病院の情報システムは通常、院内LANやVPNを介したアクセス管理が厳格であり、「自分のPCで簡単に参照・作業できる」という逃げ道が規程違反の温床になりがちです。

ユーザーの利便性と情報セキュリティを両立するために必要な対策として、病院管理のモバイル端末の整備(MDMによる端末管理・遠隔ワイプ機能)があります。また、業務システムへのゼロトラストネットワークアクセス(ZTNA)の導入により個人PCでも安全に院内システムにアクセスできる環境を整備することが求められます。データのエンドポイントへのダウンロード・コピーを技術的に制限するDLP(Data Loss Prevention)の適用も重要です。さらに、患者情報の個人PCへの保存が発覚した時点での自動検知・アラートの仕組みも必要です。

情報システム担当者が取るべき対応

全職員へのサポート詐欺認知の徹底を最優先に実施してください。今回の事案は相良中学校でのサポート詐欺被害(2026年5月29日)と全く同一の手口です。「Microsoftや警察・セキュリティ会社が警告画面から電話番号を表示してサポートを求めることは絶対にない」「表示された番号には絶対に電話しない」「画面が停止したら電源を切って管理部門に連絡する」という3点を全職員(医師・看護師・事務職員を問わず)に周知してください。

個人PCへの業務データ持ち出しの実態調査も重要です。院内規程で禁止されていても実際には多くの職員が行っている可能性があります。匿名アンケートや管理部門への自己申告の機会を設けて実態を把握し、ルールを守れない原因(業務上の必要性・環境の整備不足)を特定して根本対応を検討してください。

インシデント報告ルートの明確化と周知として、「不審なことが起きたら即日・即時に情報管理部門へ報告する」という行動規範を全職員に徹底させ、報告しやすい心理的安全性と簡便な報告手段を整備してください。今回のように被害発生から5日後の報告という遅延は、早期対応の機会を失わせます。

FAQ

Q. 今回漏洩した患者情報で何らかの被害が発生する可能性はありますか? A. 現時点で不正利用は確認されていません。住所・電話番号・クレジットカード情報は含まれておらず、直接的な金銭被害のリスクは限定的です。ただし病名・患者IDという要配慮個人情報が含まれているため、特定の疾患名が付随した情報が悪用された場合、保険加入・就職・社会的場面での不利益が生じる可能性があります。対象患者は病院からの個別連絡を待つとともに、不審な連絡には応答しないよう注意してください。

Q. なぜ院内規程に反して個人PCに患者情報を保存していたのですか? A. 公式発表では動機については触れられていません。一般的に医療従事者が個人PCに業務データを保存する背景には、自宅での勉強・レポート作成・オンコール対応など業務上の利便性の追求があります。今回の事案をセキュリティ違反として個人の責任に帰着させるだけでなく、職員が規程を守りつつ業務を遂行できる環境(病院管理デバイスの整備・VPNアクセス)が整備されていたかという組織側の問題でもあります。

Q. 個人PCに患者情報が保存されていることは個人情報保護法違反ですか? A. 院内規程への違反は明確ですが、個人情報保護法との関係については、規程違反によって結果的に安全管理措置を講じていない状態が生じていたと解釈できます。個人情報保護法は「個人情報取扱事業者」(この場合は藤田医科大学病院)に対して、安全管理措置(漏えい防止)を義務付けており(法22条)、従業者への監督義務(法24条)も定めています。今回の事案は病院側の組織的な安全管理措置・監督体制の問題として、個人情報保護委員会への報告義務の対象となります。

Q. 同様のサポート詐欺被害を防ぐにはどうすればよいですか? A. Webブラウジング中に突然警告画面・警告音が出現した場合は、表示された電話番号への接触・URLへのアクセスを一切行わず、強制終了(電源ボタン長押し)するかタスクマネージャーでブラウザを終了してください。その後、PCをネットワークから切断し情報管理部門へ報告してください。「どこかに電話しないと解決しない」「今すぐ対処しないとデータが消える」という緊急性を煽る表示は詐欺の典型パターンです。

参考情報

関連記事

沖縄県浦添市 ノートPC83台盗難事件-全市民11万5,526人の個人情報流出の恐れと委託業者管理の盲点沖縄県浦添市 ノートPC83台が盗難-全市民 11万5,526人の個人情報流出の恐れと委託業者管理の盲点 サイバー攻撃のAI活用はより高度化 標準化、Anthropicが発表サイバー攻撃のAI活用はより高度化 標準化、Anthropicが発表 メディカ出版、ランサムウェアによるサイバー攻撃の調査完了-64.1万人の個人情報漏洩の恐れ ランサムウェア グループやThe Gentlemenが犯行声明メディカ出版、ランサムウェアによるサイバー攻撃の調査完了-64.1万人の個人情報漏洩の恐れ ランサムウェア グループ The Gentlemenが犯行声明 阿波銀行 OAテスト環境への不正アクセスの原因が判明-頭取含む役員3名が報酬30%・1カ月自主返納阿波銀行 OAテスト環境への不正アクセスの原因が判明-頭取含む役員3名が報酬30%・1カ月自主返納 JR仙台病院が端末紛失とSSD欠損を公表-患者6,639人分の個人情報漏洩の恐れJR仙台病院が端末紛失とSSD欠損を公表-患者6,639人分の個人情報漏洩の恐れ 東京都立多摩総合医療センター、個人情報流出の恐れー差出人不明人が病院のUSBを送付東京都立多摩総合医療センター、個人情報流出の恐れー差出人不明人が病院のUSBを送付 山形大学、YCC情報システムへのサイバー攻撃で8万件超の個人情報漏洩の恐れ山形大学、YCC情報システムへのサイバー攻撃で8万件超の個人情報漏洩の恐れ-契約終了後のデータ残存が問題浮き彫りに 福島県郡山市の受託事業者がメール誤送信で約500件の個人情報漏洩福島県郡山市の受託事業者がメール誤送信で約500件の個人情報漏洩 ロシア系脅威アクターがAIエージェント(Claude Opus 4.5)でEDR 回避 マルウェアを自動開発-Sophos CTUロシア系脅威アクターがAIエージェント(Claude Opus 4.5)でEDR 回避 マルウェアを自動開発