北海道医療センターなどで廃棄HDDが外部流通-17万件の個人情報漏洩の恐れ|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月10日更新日時: 2026年06月10日

北海道医療センターは2026年6月8日、電子カルテ更新に伴い廃棄処分を委託していたOA機器のハードディスクの一部が、本来行われるべき破砕処理をされないまま外部に流通していたと公表しました。ハードディスクには、氏名、患者番号、生年月日、住所、電話番号、診療日、診療科、入院情報、病名、検査結果、アレルギー情報、看護記録の一部などが保存されていた可能性があります。

北海道医療センターによると、回収したハードディスクには延べ約176万件、実数で約17万名の患者情報が記録されていました。ただし、保存されていた情報の内容や量は患者ごとに異なり、すべての情報がそろって保存されていたわけではないとしています。

一方、北海道文化放送・FNNは、国立病院機構が回収したハードディスクの一部に、北海道医療センターに加えて北海道がんセンターの患者や職員などの個人情報も含まれていたと報じています。報道では、2センターを合わせた流出可能性は最大51万人分、内訳は北海道医療センター23万人分、北海道がんセンター28万人分とされています。

この記事のサマリー

北海道医療センターで、廃棄予定のハードディスクが破砕されず外部流通していたことが判明しました。
電子カルテ更新に伴い、旧端末の廃棄処理を外部業者に委託していました。
北海道医療センターの公表では、回収HDDに延べ約176万件、実数約17万名の患者情報が記録されていました。
含まれていた可能性がある情報は、氏名、患者番号、生年月日、住所、電話番号、病名、検査結果、アレルギー情報、看護記録の一部などです。
マイナンバー、銀行口座番号、クレジットカード番号は含まれていないとされています。
FNNの報道では、北海道医療センターと北海道がんセンターを合わせ、最大51万人分に上る可能性があるとされています。
ネットオークションでHDDを落札した一般の2人から、北海道医療センターのものとみられるデータがあるとの連絡があり発覚したと報じられています。
国立病院機構は、インターネット上に出ていた90個のHDDを回収したと報じられています。
報道では、廃棄物処理業者が破砕・廃棄を終えた旨のマニフェストを発行していたものの、実際には処理されていなかったとして、国立病院機構が刑事告訴したとされています。
回収HDDの中には、北海道庁が廃棄したHDD2台も含まれ、計697人分の名簿等が確認されたと報じられています。

1 何が起きたか
2 漏えいした恐れのある情報
3 北海道庁のHDDも回収HDDに含まれていたとの報道
4 現在の対応
5 患者・関係者が注意すべきこと
6 医療機関・自治体が確認すべき記録媒体廃棄の管理
7 参考情報・出典

何が起きたか

北海道医療センターでは、電子カルテの更新に伴い、旧来使用していた端末を外部の廃棄処理業者に委託して処分していました。端末に内蔵されていたハードディスクは破砕処分するよう委託されていましたが、その一部が適切に破砕されないまま外部に流通していたことが判明しました。

FNNの報道によると、2025年6月、ネットオークションでハードディスクを落札した一般の2人から、北海道医療センターのものと思われるデータが保存されているとの連絡がありました。国立病院機構が落札者からハードディスクを買い取るなどして回収したところ、北海道医療センターの患者や職員などの個人情報が入っていたとされています。

国立病院機構は、2024年3月に北海道医療センターの電子カルテ更新に伴い、患者や職員などの個人情報が入ったハードディスク約750台の破砕と廃棄処理を、北海道石狩市の廃棄物処理業者に依頼していました。ところが、破砕・廃棄処理されたはずのハードディスクがネットオークションに出品されていたと報じられています。

漏えいした恐れのある情報

北海道医療センターが公表した、当該ハードディスクに保存されていた可能性のある情報は以下です。

区分	内容
基本情報	氏名、患者番号、生年月日、住所、電話番号
診療関連情報	診療日、診療科、入院に関する情報
医療情報	病名、検査結果、アレルギー情報、看護記録の一部など

保存されていた情報の内容や量は患者ごとに異なり、すべての患者にこれらの情報がすべて保存されていたわけではありません。北海道医療センターは、マイナンバー、銀行口座番号、クレジットカード番号などは含まれていないと説明しています。

医療情報は、住所や電話番号などの連絡先情報以上に機微性が高い情報です。病名、検査結果、アレルギー情報、看護記録が含まれる場合、本人の健康状態、受診歴、入院歴に関わる情報が外部に接触した可能性があるため、通常の氏名・住所漏えいよりも慎重な対応が必要です。

北海道庁のHDDも回収HDDに含まれていたとの報道

FNNは、国立病院機構が回収した90台の中に、北海道が廃棄したハードディスク2台も含まれていたと報じています。1台には北海道庁道民生活課がまとめたイベント出席者の氏名、講師の謝費など98人分のデータが、もう1台には後志総合振興局がまとめた市町村や商工会関係者の名簿、セミナー参加者名簿など599人分が含まれていたとされています。

北海道の内規では、産業廃棄物として業者へ渡す前に北海道側で破砕して処分することになっていましたが、今回はその作業を怠っていたと報じられています。また、北海道が過去5年間の同種事案を確認したところ、2台のほかに7台が適正に廃棄されたか確認できなかったとされています。

現在の対応

北海道医療センターは、病名、検査結果、診療に関する記録などが含まれていた可能性がある患者に対して、順次、詳しい内容の書面を個別に郵送しています。また、氏名、患者番号、診療日、診療科などのみが含まれていた可能性がある患者についても、書面を個別に郵送していると説明しています。

FNNの報道では、国立病院機構は情報漏えいの拡大を防止するため、インターネット上に出ていた90個のハードディスクを回収したとされています。また、患者への個別通知と専用窓口の開設も報じられています。

北海道医療センターは、個人情報を含む記録媒体について院内で確実に物理的破壊を行うことを原則とし、廃棄工程で複数人による確認を必須化し、外部委託を行う場合の委託先選定と管理体制を厳格化するとしています。

患者・関係者が注意すべきこと

北海道医療センターは、現時点で患者に特別な手続きや対応を求めるものではないとしつつ、不審な電話、郵便物、電子メール、病院や公的機関を名乗って個人情報の確認や提供を求める連絡、金銭の支払いや口座情報の提供を求める案内、不安をあおって至急の対応を促す連絡に注意するよう呼びかけています。

今回の事案では、マイナンバー、銀行口座番号、クレジットカード番号は含まれていないとされています。そのため、これらの情報を確認すると称する電話やメール、郵便物が届いた場合は、病院や公的機関を装った不審連絡として扱うべきです。

医療情報が含まれていた可能性があるため、患者本人や家族の不安は大きくなります。不審な連絡を受けた場合は、相手が案内する電話番号やURLを使わず、病院が公表している専用窓口に確認することが重要です。

医療機関・自治体が確認すべき記録媒体廃棄の管理

今回の事案は、電子カルテ更新、端末廃棄、HDD破砕、外部委託管理が重なった典型的な情報漏えい事案です。医療機関や自治体では、廃棄処理を委託した時点で責任が終わるわけではありません。

確認項目	必要な対策
院内・庁内での破壊	個人情報を含むHDDやSSDは、委託前に自組織内で物理破壊する
破壊証跡	破壊前後の媒体番号、写真、立会記録を残す
複数人確認	取り外し、保管、破壊、搬出の各工程を複数人で確認する
媒体台帳	端末番号、HDDシリアル、廃棄日、処理方法を記録する
委託先管理	産廃許可だけでなく、情報機器廃棄の実績と管理体制を確認する
マニフェスト確認	書面を受け取るだけでなく、実処理の証跡を確認する
作業区域分離	破砕前媒体と破砕後媒体を明確に分ける
抜き打ち監査	委託先の保管状況や処理工程を定期的に確認する

特に医療機関では、電子カルテ端末や部門システム端末に、患者氏名、患者ID、診療履歴、検査結果、看護記録などが残る可能性があります。廃棄時はデータ消去だけでなく、暗号化状態、媒体取り外し、物理破壊、破壊証明の確認まで含めた運用が必要です。問い合わせ窓口

北海道医療センターは、本件に関する専用問い合わせ窓口を設置しています。

窓口	内容
北海道医療センター個人情報に関する専用のお問合せ窓口	0120-008-602
受付時間	平日 9:00〜17:00
備考	当面の間、土日も同時間帯で受付