医療法人社団善衆会 善衆会病院と、同院公式ホームページの制作・管理を担当していた株式会社ヌードウェアは、公式サイトリニューアルに伴う開発用テストサイトが検索エンジンに表示され、一般の利用者が閲覧できる状態になっていたと公表しました。
善衆会病院は、2025年6月ごろから開発用検証環境が制作会社のサーバーから誤公開され、2026年4月21日に同院が発見するまで、誰でも閲覧可能な状態だったと説明しています。現在は、Google検索結果に開発用テストサイトが表示される事象は解消しているとしています。
この記事のサマリー
- 善衆会病院の公式サイトリニューアルに伴う開発用テストサイトが一般閲覧可能になっていました。
- 開発用テストサイトは、Web制作会社である株式会社ヌードウェアのサーバーから誤公開されていました。
- 2025年6月ごろから2026年4月21日に発見されるまで、誰でも閲覧可能な状態だったとされています。
- 原因は、テスト環境へのパスワード保護などアクセス制限の設定不備です。
- Googleなどの検索エンジンに登録され、検索結果に表示されていました。
- 対象のテスト用ホームページは2026年4月21日に削除済みです。
- Googleへの削除依頼により、2026年4月25日午後に検索結果へ表示されないことを確認済みです。
- テストサイト内に患者の個人情報や機密情報は含まれていませんでした。
- 善衆会病院の正規ホームページに不具合は発生していません。
- ヌードウェアは、テスト・開発環境へのアクセス制限と検索エンジンへのインデックス拒否設定を徹底するとしています。
何が起きたか
善衆会病院の公式ホームページリニューアル作業において、制作会社のヌードウェアが構築作業用に使用していた開発用テストサイトが、外部から閲覧できる状態になっていました。
善衆会病院の公表では、2025年6月ごろから、同院ホームページの開発用検証環境がWeb制作会社のサーバーから誤公開されていました。2026年4月21日に同院が発見するまで、インターネット上で閲覧可能な状態だったとされています。
事案の概要
| 項目 | 内容 |
|---|---|
| 対象 | 善衆会病院公式ホームページの開発用テストサイト |
| 関係企業 | 株式会社ヌードウェア |
| 発生時期 | 2025年6月ごろから |
| 発見日 | 2026年4月21日 |
| 公表日 | ヌードウェアは2026年5月25日、善衆会病院は2026年6月8日 |
| 状態 | テスト用ホームページが検索エンジンに表示され、一般閲覧可能だった |
| 原因 | パスワード保護などアクセス制限の設定不備 |
| 個人情報 | 患者の個人情報や機密情報は含まれていない |
| 現在の状態 | 対象テストサイトは削除済み、検索結果への表示も解消済み |
原因
原因は、開発用テストサイトに対するアクセス制限の不備です。
ヌードウェアによると、同社が管理するサーバー内に残っていた構築作業用のテスト用ホームページに対し、本来行うべきパスワード保護などのアクセス制限設定が不十分でした。その結果、検索エンジンにページが登録され、Googleなどの検索結果に表示される状態になりました。
開発用テストサイトは、本来であれば外部から閲覧できないように制限すべき環境です。公開前の内容、仮画像、未確定の文章、動作確認用ページなどが含まれることがあり、たとえ個人情報が含まれていなくても、誤情報の閲覧や公式情報との混同につながる恐れがあります。
実施された対応
ヌードウェアは、本件判明後に以下の対応を実施しました。
| 対応 | 内容 |
|---|---|
| テストサイト削除 | 2026年4月21日に対象テスト用ホームページを完全に削除 |
| 検索結果からの削除 | Googleに削除依頼を実施 |
| 削除確認 | 2026年4月25日午後、検索結果に表示されないことを確認 |
| 再発防止 | テスト・開発環境のアクセス制限とインデックス拒否設定を徹底 |
| 運用管理 | 担当者変更時も管理が継続できるよう運用手順を明文化 |
善衆会病院も、Web制作会社による原因究明および対策により、現在は検索インデックスに開発用テストサイトが表示される事案は解消しているとしています。
開発用テストサイトの誤公開で注意すべきリスク
今回の事案では、個人情報や機密情報の流出はないとされています。
ただし、開発用テストサイトの誤公開は、医療機関や企業にとって軽視できない問題です。テスト環境には、未確定の掲載情報、公開前のデザイン、確認用ページ、古い情報、内部向けの文言、仮の問い合わせ先、テスト用フォームなどが含まれる場合があります。
| リスク | 内容 |
|---|---|
| 誤情報の閲覧 | 公開前または未確定の情報が公式情報のように見られる |
| ブランド毀損 | 未完成のページにより利用者が不信感を抱く |
| 検索結果汚染 | 正規サイトではないページが検索結果に表示される |
| フォーム誤送信 | テストフォームが外部から利用される可能性 |
| 内部構成の露出 | ディレクトリ構成やCMS情報が見える可能性 |
| セキュリティ上の足掛かり | テスト環境経由で本番環境や管理画面の情報を推測される可能性 |
医療機関の場合、患者や地域住民が検索エンジン経由で受診情報を探すことが多いため、誤公開された開発環境が検索結果に出ると、診療時間、診療科、予約方法、問い合わせ先などについて誤認が生じる可能性があります。
情報システム部門が確認すべきポイント
今回のような事案は、Web制作会社側の管理不備であっても、発注元の信頼に直接影響します。
情報システム部門や広報部門は、WebサイトリニューアルやCMS更新時に、委託先任せにせず、テスト環境の管理ルールを契約・運用に組み込む必要があります。
| 項目 | 確認内容 |
|---|---|
| 委託契約 | テスト環境の認証、削除、ログ管理を明記しているか |
| 責任分界 | 制作会社と発注元の確認範囲を明確化しているか |
| 検収項目 | テスト環境削除、noindex、検索結果確認を含めているか |
| 定期検索 | 自組織名で検索し、不要ページが表示されていないか確認 |
| サブドメイン管理 | 委託先サーバー上のテストドメインを把握しているか |
| インシデント手順 | 誤公開発見時の削除依頼、検索削除、告知手順を整備しているか |
医療機関では、診療情報そのものだけでなく、患者が閲覧する案内情報の正確性も重要です。テストサイトが検索結果に表示される状態は、受診行動や問い合わせに影響する可能性があるため、広報・情報システム・委託先が共同で管理する必要があります。
参考情報・出典
関連記事
北海道医療センターなどで廃棄HDDが外部流通-17万件の個人情報漏洩の恐れ
群馬大学がYouTubeに映った映像から個人情報漏洩を発表
サノフィが不正アクセスで約73万人の個人情報漏洩の可能性
JR仙台病院が端末紛失とSSD欠損を公表-患者6,639人分の個人情報漏洩の恐れ
ロシア系脅威アクターがAIエージェント(Claude Opus 4.5)でEDR 回避 マルウェアを自動開発
XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094)
LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデント
Claude MythosがPHPのテンプレートエンジンのTwig(ツイッグ)の脆弱性を発見、危険な脆弱性(CVE-2026-46640・CVE-2026-46633)を含む13件の脆弱性を修正済み
マネーフォワードが約35日ぶりに全銀行口座連携を再開ーGitHub不正アクセスの全経緯
