和歌山県橋本市の医療法人南労会 紀和病院は2025年10月27日、同院の非常勤医師が使用していた自宅パソコンが不正アクセス(いわゆる「サポート詐欺」)の被害を受けた事案について公表しました。
目次
サポート詐欺と不正アクセスの概要
同院によりますと、令和7年(2025年)8月29日、当該医師がウェブ閲覧中に偽の警告画面が表示され、画面に記載されていた電話番号へ連絡した結果、遠隔操作による不正アクセスを受けました。いわゆる「サポート詐欺」の手口で、正規サポートを装う相手の指示で端末操作を許してしまうことで被害に至ったものです。
端末には同院の患者数千件分の一部情報(氏名、生年月日、性別、住所、診療情報)が保存されていましたが、専門業者による解析の結果、個人情報が外部に流出した事実は確認されていないとしています。
端末が一時的に遠隔操作を受けたことを重く受け止め、対象となる患者さまには念のため個別に文書で報告を行っています。
発生直後から同院は専門業者に調査を依頼し、アクセスの痕跡や情報流出の有無を精査しました。
関連:2025年 病院・クリニックへのサイバー攻撃やインシデントによる情報漏洩 事例と対策
調査で判明したこと
専門業者の解析では、端末上で2件のファイルにアクセスされた形跡が確認されましたが、これらは個人情報を含まないファイルでした。その他の保存データについても、個人情報の閲覧や持ち出しを示す痕跡は見つかっておらず、現時点で個人情報の外部漏えいは確認されていません。
ただし遠隔操作が一時的に行われた事実を踏まえ、同院はリスクを全面的に否定できないとの判断から、対象患者さまに対する個別通知を実施しています。
保存されていた情報の範囲
当該端末には、同院患者さま数千件分の一部情報として、氏名、生年月日、性別、住所、診療情報が保存されていました。これらは診療業務に関連して端末内に保管されていたもので、今回の調査では閲覧・持ち出しの痕跡は確認されていません。
本件の問題点
本件の問題についてはシャドーITとリテラシーの低さが問題になります。
個人端末への患者情報保存
本件では、非常勤医師の自宅PCという個人端末に患者情報が保存されていた点が重大な論点です。
医療情報は機微性が高く、管理主体が把握・統制しづらい個人端末に保存されること自体がリスクを高めます。端末の資産管理、暗号化、マルウェア対策、ログ取得、持ち出し承認などの管理が院内端末と同等水準で担保されにくく、万一の不正操作や紛失・盗難時に被害規模が拡大しやすいためです。
このため、原則として個人端末への患者情報保存を禁止し、やむを得ない場合でも強制暗号化・DLP(情報持ち出し制御)・リモートワイプ・VPN強制・多要素認証・記録媒体の登録制など、技術的・運用的な多層防御を徹底する必要があります。
あわせて、VDI(仮想デスクトップ)や仮想アプリ配信など「端末にデータを残さない」アーキテクチャを既定路線とし、持ち出し要否の判断や最小化を厳密に運用することが望まれます。
サポート詐欺に対するセキュリティリテラシー
本件は、偽警告→電話誘導→遠隔操作許可という典型的なサポート詐欺のパターンで成立しています。偽の警告画面に記載された連絡先へ電話をし、相手の指示に従って操作を許可してしまった点は、ソーシャルエンジニアリングに対するセキュリティリテラシーの課題を示唆します。
病院側は、職員区分(常勤・非常勤・委託含む)にかかわらず、「警告ポップアップに記載の連絡先へは連絡しない」「正規サポート窓口は院内手順で確認する」「リモート操作依頼は一律拒否」「不審を感じたら即時CSIRT/情報システムに連絡」といった行動レベルのルールを教育・訓練で浸透させる必要があります。
定期的なフィッシング訓練・ロールプレイ・疑似詐欺電話演習など、体験型の啓発を取り入れることで、実地の判断力を高められます。技術面では、URLフィルタリング、ブラウザ隔離、EDR、アプリ実行制御、特権昇格の管理、既定での通話録音・画面録画(インシデント時)などを組み合わせ、ヒトのミスを前提に被害を食い止める仕組みを整備することが有効です。
同院の対応と再発防止策
同院は、事案を受けて次の再発防止策を進めています。
-
個人情報を扱う端末の管理体制および情報持ち出しルールの見直し
持ち出し要否の基準や保存方法、暗号化・持ち出し手続きの厳格化などを含め、運用面を再点検します。 -
職員に対する情報セキュリティ教育の強化
サポート詐欺を含む最新の攻撃手口への注意喚起、遠隔操作要求への対応原則、インシデント発生時の報告体制を再徹底します。
これに加え、対象患者さまへは個別文書で経緯と調査結果、相談先を案内しており、引き続き丁寧に対応していくとしています。








