国立大学法人九州大学は2026年6月10日、公式お知らせページおよび九州大学病院のお知らせで、学内研究室が管理する端末が不正アクセスを受け、ランサムウェアに感染したとみられる事案が発生したと公表しました。
発生日は2026年5月25日で、公表まで約16日間を要しています。この端末に保存されていた九州大学病院の患者43名の氏名と手術動画データが、不正アクセスにより外部に流出した可能性を否定できない状況です。手術動画は患者の身体的情報を含む極めて高いセンシティビティを持つ医療情報であり、一般的な個人情報漏洩と比べてより深刻なプライバシー侵害のリスクがあります。
なお、当該端末は診療用ネットワークとは切り離された研究室端末であったため、電子カルテをはじめとする診療用システムへの影響は現時点では確認されていません。診療業務は通常通り実施されており、患者への受診への影響も確認されていません。大学は不審な挙動を検知後に直ちにネットワークから遮断して被害拡大防止策を講じており、警察とも連携の上、原因および影響範囲の調査を進めています。対象となる患者43名への個別連絡も順次実施中とのことです。本記事では事案の概要・流出した可能性がある情報の性質・対応措置・情報システム担当者への教訓を解説します。
サマリー
- 2026年5月25日:九州大学の研究室が管理する端末がサイバー攻撃による不正アクセスを受け、ランサムウェアに感染したとみられる事案が発生
- 2026年6月10日:九州大学および九州大学病院が公式サイトで公表(発生から約16日後)
- 流出の可能性がある情報:九州大学病院の患者43名の氏名と手術動画データ
- 流出の現状:当該情報が実際に外部に公開・悪用された事実は現時点では確認されていない
- 端末の性質:診療用ネットワークとは切り離された研究室端末。電子カルテなど診療用システムへの影響は確認されていない
- 診療業務:通常通り実施。患者の受診への影響は確認されていない
- 初動対応:不審な挙動を検知後、直ちにネットワークから遮断しデータセンターの隔離措置を実施
- 現在の対応:警察と連携して原因・影響範囲を調査中。対象患者43名へ個別に連絡・報告・お詫びを実施中
目次
流出した可能性がある情報の性質「手術動画」という特殊性
今回の事案で最も深刻な問題点は、流出した可能性があるデータが「手術動画」を含む点です。
手術動画は患者の身体的情報を映像として記録したものであり、単なる氏名・連絡先などの一般的な個人情報とは異なり、以下の特殊なリスクを持ちます。
センシティビティの高さ:患者の身体(術部位・患部の状態等)が映像で記録されており、プライバシーの侵害度合いが一般的な個人情報漏洩と比べて著しく高いです。
医療目的外の利用リスク:手術動画はインターネット上で流通した場合、患者の同意なく第三者に閲覧される可能性があり、精神的苦痛のみならず医療情報に基づく差別的扱いのリスクも生じます。
不可逆性:流出した映像は削除・回収が事実上不可能であり、一度公開されると半永久的に拡散するリスクがあります。
九州大学病院は「現時点において、当該情報が実際に外部に公開・悪用された事実は確認されていない」と述べており、これは警察との連携・継続的な監視の中で確認されていないということを意味します。
研究室端末という「セキュリティの盲点」
今回の事案が情報システム担当者にとって重要な教訓となる点は、被害を受けたのが診療用システムとは別の研究室端末だったという点です。
大学病院においては、電子カルテや診療システムを含む「診療用ネットワーク」は厳格な管理下に置かれていることが一般的です。しかし研究室が管理する端末は、研究活動上の利便性から比較的自由度の高い運用がされているケースがあります。
今回のように、研究目的で使用する端末に診療関連データ(患者の手術動画)が保存されていた状況は、以下のリスクを内在していました。
データの所在管理の問題:患者の手術動画という機微な医療情報が、厳格な管理体制が整った診療用システムとは別の端末に保存されていた状態です。この種のデータは本来、アクセス制限が徹底された専用のシステムで管理されるべきです。
研究端末のセキュリティ管理:研究室の端末は個人の研究者が管理することが多く、パッチ適用の遅れ・セキュリティ設定の不備・不審なファイルのダウンロードなどのリスクが診療用システムより高い場合があります。
ネットワーク分離は「絶対的な防御」ではない:診療用ネットワークとの分離が電子カルテの漏洩を防いだ点は評価できますが、研究室端末それ自体に機微情報が存在する限り、その端末が攻撃の標的になるリスクは残ります。
対応措置のタイムライン
| 日付 | 対応 |
|---|---|
| 2026年5月25日 | 研究室端末が不正アクセスを受け、ランサムウェアに感染したとみられる事案が発生 |
| 不審な挙動を検知後(同日以降) | 直ちにネットワークから遮断。被害拡大防止策を実施 |
| 発生後(詳細日時未公表) | 警察への連絡・連携開始。原因・影響範囲の調査開始 |
| 対象患者43名への個別連絡 | 順次実施中 |
| 2026年6月10日 | 九州大学および九州大学病院が公式サイトで公表 |
情報システム担当者(特に医療機関・大学)への教訓
今回の九州大学の事案は、以下の点で医療機関・大学の情報システム担当者に共通する重要な教訓を含んでいます。
①研究用端末と医療データの厳格な分離:研究者が使用する端末には、たとえ研究目的であっても患者情報・医療映像などの機微データを保存しないルールの徹底が必要です。研究に必要な場合は、適切な管理体制が整った専用のシステムを通じてアクセスする仕組みを構築すべきです。
②研究室端末のセキュリティ管理の強化:個人の研究者が管理する端末に対しても、EDR(エンドポイント検知・対応)の導入・パッチ管理の自動化・多要素認証の義務化などの組織的なセキュリティ管理が必要です。
③ランサムウェア感染時の「ネットワーク遮断」の迅速な判断:今回の九州大学は不審な挙動を検知後に直ちにネットワークから遮断しており、これが被害の拡大(診療用システムへの波及)を防いだ可能性があります。この「検知→遮断」の意思決定フローをインシデントレスポンス計画(IRP)として事前に整備し、訓練しておくことが重要です。
④医療情報の保存場所の棚卸し:自組織内に患者の手術動画・検査画像・診療記録などの機微情報がどこに・どんな形で・誰がアクセスできる状態で保存されているかを定期的に棚卸しする「データ資産管理(DSPM)」の実施が急務です。
FAQ
Q. 手術動画が流出した場合、患者はどうすればよいですか? A. 九州大学病院は対象患者43名に対して個別に連絡を取り、報告とお詫びを行うとしています。対象患者への連絡が届いていない場合や不安がある場合は、下記のお問い合わせ先に連絡してください。
Q. 受診した患者は自分のデータが含まれているか確認できますか? A. 九州大学病院のお知らせによれば「対象となる患者様に対して、個別に連絡の上、順次、ご報告とお詫びを行っております」とされています。個別連絡がまだの場合は、下記窓口にお問い合わせください。
Q. 電子カルテや診療システムは安全ですか? A. 大学の発表によれば「当該端末は診療用ネットワークとは切り離されたものであるため、電子カルテなど診療用システムへの影響は現時点において確認されておりません」とされています。ただし「現時点において」という表現から、引き続き調査が継続中であることが示されています。
お問い合わせ先
九州大学病院のお知らせに記載のお問い合わせ先にご連絡ください。
参考情報
- 九州大学「本学研究室の端末への不正アクセスについてのご報告とお詫び」(2026年6月10日)
- 九州大学病院「本学研究室の端末への不正アクセスについてのご報告とお詫び」(2026年6月10日)
- 当サイト関連:2026年5月 ランサムウェア事例まとめ
- 当サイト関連:サイバー攻撃・情報漏えい最新事例まとめ2026
関連記事
学習塾運営のCKCネットワーク・学参がランサムウェア 被害で個人情報漏洩の恐れ
Kaizen Tech Agentが元従業員による不正な情報持ち出しで個人情報漏洩の恐れ
Microsoft、2026年6月定例パッチで史上最多206件の脆弱性を修正-3件のゼロデイや危険な脆弱性含む(CVE-2026-50507,CVE-2026-45586,CVE-2026-47291,CVE-2026-49160)
ハッカーグループがOracle PeopleSoftへサイバー攻撃-100組織超から300インスタンスへ不正アクセスか
中国語圏 PhaaSが日本を標的にサイバー攻撃-PayPay・JA銀行・楽天証券 等400超テンプレートでリアルタイム MFA 突破
産業廃棄物処理事業振興財団 運営 優良さんぱいナビで不正アクセス、個人情報漏洩の恐れ
Windows ゼロデ イ 脆弱性「MiniPlasma」-2020年に「修正済み」のCVE-2020-17103が実は未修正
アサヒグループHDがランサムウェアによるサイバー攻撃で業績を下方修正
あなぶきハウジングサービスのランサムウェアによりサイバー攻撃の個人情報漏洩件数が207,773件に確定
