元医師、退職した元勤務先の医療機関に3度侵入し電子カルテへ不正アクセス-在職中のIDが退職後も有効なままだった

セキュリティニュース

投稿日時: 更新日時:

元医師、退職した元勤務先の医療機関に3度侵入し電子カルテへ不正アクセス-在職中のIDが退職後も有効なままだった

大阪府警は2026年7月15日、元勤務先の医療機関に侵入して電子カルテシステムに不正に接続したとして、和歌山市在住の元医師の男(39)を不正アクセス禁止法違反と建造物侵入の疑いで再逮捕したと発表しました。男は「カルテ情報を見るために侵入した。患者さんがどうなっているのか気になった」と容疑を認めているといいます。男はすでに医師法違反の罪で起訴されており、行政処分により医業停止となっていた期間中に別の医療機関で診療行為を繰り返していたことが今年6月に判明していました。

サマリー

  • 大阪府警生活環境課は2026年7月15日、和歌山市在住の元医師で無職の男(39、医師法違反の罪で起訴済み)を、不正アクセス禁止法違反と建造物侵入の疑いで再逮捕したと発表した
  • 逮捕容疑は、2026年3月15日朝、正当な理由なく大阪府泉佐野市の医療機関に侵入し、建物内のパソコンを使って電子カルテシステムにアクセスしたこと、および同月19日朝にも不正アクセスの目的で同じ建物に侵入したこと
  • 男は今年3月9日までこの医療機関に常勤医として勤務し、自主退職していた。侵入時、建物は施錠されていたが何らかの方法で解錠し、パソコンには在職当時に使用していたIDでログインしていたという
  • 電子カルテシステムには患者の個人情報や診察記録が記録されており、当時は約50人分の情報が閲覧できる状態だった
  • 男は3月14日にも建物内に侵入しており、医療機関の責任者から警告を受けていたが、翌15日に関係者がパソコンを操作する男を発見。19日にも侵入しているところを関係者が目撃し、大阪府警泉佐野署へ通報したことで発覚した
  • 男は、窃盗や麻薬及び向精神薬取締法違反の罪で罰金30万円の略式命令を受けたことを理由に、厚生労働大臣から医業停止処分(2025年12月17日〜2026年3月16日の3カ月間)を命じられていた。しかしこの停止期間中の2025年12月〜2026年2月、大阪府泉佐野市・和歌山市の3つの医療機関において、患者95人に対し計181回にわたり診察や薬の処方などの医療行為をした疑いで、2026年6月24日に医師法違反の容疑ですでに逮捕されていた
  • この3つの医療機関は、いずれも男に対する行政処分の存在を把握していなかったとみられる。発覚のきっかけは第三者からの指摘で、当該の病院側が大阪府警へ申告した
項目 内容
再逮捕発表日 2026年7月15日
被疑者 元医師・無職の男(39)、和歌山市在住
今回の容疑 不正アクセス禁止法違反、建造物侵入
侵入日時 2026年3月15日朝、3月19日朝
侵入先 大阪府泉佐野市の医療機関(男が3月9日まで常勤医として勤務)
手口 施錠された建物を解錠して侵入、在職中のIDでPCへログイン
閲覧可能だった情報 患者の個人情報・診察記録、当時約50人分
発覚経緯 3月14日侵入で警告、15日に関係者が発見、19日に目撃され警察へ通報
先行する逮捕(2026年6月24日) 医師法違反、医業停止処分中の3医療機関での181回の無資格診療(患者95人)
医業停止処分の理由 向精神薬処方箋偽造等による罰金30万円の略式命令
医業停止期間 2025年12月17日〜2026年3月16日(3カ月間)

何が起きたか-電子カルテへの不正アクセス

大阪府警生活環境課の発表によれば、男は2026年3月15日朝、正当な理由なく大阪府泉佐野市の医療機関に侵入し、建物内のパソコンを使って電子カルテシステムにアクセスしました。さらに同月19日朝にも、不正アクセスの目的で同じ建物に侵入したとされています。男は今年3月9日までこの医療機関に常勤医として勤務しており、自主退職していました。侵入時、建物は施錠されていましたが、男は何らかの方法で鍵を開けて侵入し、パソコンには在職当時に使用していたIDでログインしていたといいます。電子カルテシステムには患者の個人情報や診察記録が記録されており、当時は約50人分の情報が閲覧できる状態だったとされています。

発覚の経緯としては、男は3月14日にも同じ建物内に侵入しており、この時点で医療機関の責任者から警告を受けていました。しかし翌15日、関係者がパソコンを操作する男を発見し、さらに19日にも侵入しているところを関係者が目撃したため、大阪府警泉佐野署へ通報したことで事件化しました。男は「カルテ情報を見るために侵入した。患者さんがどうなっているのか気になった」と容疑を認めているといいます。

先行する逮捕-医業停止処分中の無資格診療

今回の再逮捕に先立ち、男は2026年6月24日、医師法違反の疑いで大阪府警にすでに逮捕されていました。

この逮捕容疑は、2025年12月から2026年2月にかけて、厚生労働大臣による医業停止処分の期間中であったにもかかわらず、大阪府泉佐野市および和歌山市の計3つの医療機関において、20代から100代の患者95人に対し計181回にわたり診察や薬の処方などの医療行為を行ったというものです。

男はこの期間、泉佐野市の病院で常勤医師として勤務する一方、同市および和歌山市内の別の2つの病院でも非常勤内科医として勤務しており、いずれの病院も男に対する行政処分の事実を把握していなかったとみられています。発覚のきっかけは第三者からの指摘で、これを受けて病院側が大阪府警へ申告したとされています。患者への健康被害は確認されていません。

この医業停止処分は、男が2021年3月から4月にかけて、当時勤務していた和歌山市内の別の病院で向精神薬の処方箋2枚をコピーして偽造したこと(麻薬及び向精神薬取締法違反等)を理由に、2022年1月に和歌山簡易裁判所から罰金30万円の略式命令を受けたことに端を発しています。この処分により、2025年12月17日から2026年3月16日までの3カ月間、医業停止となっていました。

事件の時系列を整理すると、医業停止処分の期間中に複数の医療機関で無資格の診療を続けていた男は、2026年3月9日に泉佐野市の医療機関を自主退職し、その5日後の3月14日には早くも同じ建物に侵入、15日・19日にも侵入を繰り返していたことになります。医業停止処分の期間そのものは3月16日に終了していますが、男は退職後も在職中のIDが有効なままだった電子カルテシステムへ、施錠された建物に無断で立ち入ってまで接続しようとしていました。

情報システム部門への示唆

今回の事案が示す最も重要な教訓は、退職者のアカウントが在職時のまま有効な状態で放置されていたという点です。当サイトで以前紹介した熊本市内のイベント会社で、退職した元従業員が在職中に得た認証情報を使い元勤務先のシステムへ不正アクセスした事案でも指摘した通り、退職・異動時にアカウントが即時無効化されないことは、内部不正リスクの中でも特に繰り返し発生しやすいパターンです。不正アクセス禁止法は、他人の識別符号を無断で使用してコンピューターにアクセスする行為に加え、退職後に無効化されていない自分自身のアカウントを使ってログインする行為も典型的な違反類型として扱っており、違反した場合は3年以下の懲役または100万円以下の罰金が科されます。

医療機関に限らず、退職者のアクセス権限は「退職当日に必ず実施する」という明確な手順を、人事部門と情報システム部門が連携して確立しておくことが最も基本的かつ有効な対策です。特に医療機関の電子カルテシステムは、患者の個人情報・診療記録という機微な情報を扱うため、退職・契約終了と同時にアカウントを無効化する運用を徹底し、あわせて建物への物理的な入退室管理(鍵の返却確認、退職者のICカード無効化等)も同時に見直すことが重要です。今回のように、施錠された建物であっても何らかの方法で解錠され侵入を許してしまうケースがある以上、物理セキュリティとシステムアカウント管理の双方を、退職手続きの一環として同じタイミングで確実に実施する仕組みづくりが求められます。

 

出典