1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 内部不正のニュース
  4. 桜十字病院(熊本)、職員による患者の個人情報流出—SNSへの投稿が背景か

桜十字病院(熊本)、職員による患者の個人情報流出—SNSへの投稿が背景か

セキュリティニュース

投稿日時: 更新日時:

桜十字病院(熊本)、職員による患者の個人情報流出—SNSへの投稿が背景か

2026年4月23日、医療法人桜十字が運営する桜十字病院(熊本市南区)は、関係職員による不適切な情報発信により患者の個人情報が外部に漏洩したとして、公式サイトで謝罪と報告を公表しました。漏洩の対象は1名で、漏洩した情報は氏名・生年月日・年齢です。

この記事のサマリー

  • 発生日:2026年4月21日。事案の発覚:2026年4月23日
  • 発生原因は「関係職員による不適切な情報発信」とされており、漏洩した情報は氏名・生年月日・年齢、対象者は1名です。
  • 病院は「医療機関として最も厳重に管理すべき個人情報が外部に発信されたことは、あってはならない事態」として深くお詫びを表明しています。
  • 本件はSNS上で医療従事者とみられる人物が患者の個人情報を含む医療書類をSNSに投稿したとみられる事案との関連が指摘されており、複数のSNSアカウントで拡散しています。ただし病院の公式発表では投稿媒体や職種の詳細は明示されていません。

事案の概要

項目 内容
発生日 令和8年(2026年)4月21日
発覚日 令和8年(2026年)4月23日
発生原因 関係職員による不適切な情報発信
漏洩情報 氏名、生年月日、年齢
漏洩対象者数 1名
公表日 2026年4月23日

SNSへの投稿が背景か——病院の公式発表には明示なし

SNS上では本件の発覚について、医療従事者とみられる人物が患者の認知機能検査(MMSE:Mini-Mental State Examination)に用いる書類を撮影してSNSに投稿したとする情報が複数のアカウントから共有されており、病院の公式発表との関連を指摘する声が広がっています。

ただし桜十字病院の公式発表においては、投稿されたSNSの種類・職員の職種・投稿の具体的な内容についての言及はなく、「関係職員による不適切な情報発信」とのみ説明されています。現時点で病院が確認している事実と、SNS上で流通している情報を区別して捉える必要があります。

本件が示す問題の構造——「悪意なき投稿」が患者の権利を侵害する

医療現場でのSNS投稿による個人情報漏洩は、今回のような事案に限らず繰り返し発生しています。特に注意が必要な点は、多くの場合において投稿者に「悪意」がないケースが多いという点です。「日常の一コマ」「仕事の記録」として軽い気持ちで投稿された写真や画像が、フレームの端に映り込んだ患者の名前・生年月日・診断情報・医療書類を含んでいたというパターンが典型的です。

医療記録や検査用紙は、それ自体が保護された個人情報です。MMSE等の認知機能検査の記録は、患者の認知機能の状態という極めて機微な情報を含んでおり、本人の同意なく第三者が閲覧できる状態にすることは個人情報保護法はもとより、医療従事者としての職業倫理に反する行為です。

また、撮影・投稿した本人が「患者名にモザイクをかけた」としても、生年月日・検査日・医療機関名などの周辺情報からの推定(いわゆる「モザイク除去的な個人特定」)が可能な場合もあり、「個人を特定できないように加工した」という認識は不十分なことが多くあります。

医療機関・病院のセキュリティ担当者へのポイント

本件のような「職員によるSNSへの医療情報の投稿」は、外部からのサイバー攻撃とは異なり、技術的なセキュリティ対策だけでは防止が困難な「内部不正」に分類されます。しかし「意図的な情報売却」ではなく「不注意・軽率な投稿」であるケースが大半を占める点が特徴です。

医療現場における撮影・投稿に関するルールの明文化として、「医療書類・院内設備・患者が写り込む可能性のある環境での撮影」を原則禁止とする就業規則・倫理規程の整備が基本です。スマートフォンの業務エリアへの持ち込みルールの明確化、SNS利用に関する定期的な研修の実施も不可欠です。

研修においては「患者の名前にモザイクをかければよい」という誤った認識を正すことが重要です。投稿した情報が法的・倫理的に問題となる状況をケーススタディ形式で共有することで、「自分の投稿が問題になりうる」という実感を持たせることが、座学だけでは得にくい抑止力となります。

よくある質問(FAQ)

Q. 漏洩した患者の情報はどのような状態ですか? 病院は「氏名・生年月日・年齢が外部に発信された」と公表しています。現時点で二次的な被害(なりすまし・差別的な扱い等)が確認されているかどうかについては公表されていません。

Q. 職員はどのような処分を受けますか? 病院の公式発表では処分の具体的な内容は明示されていません。

Q. 医療機関での個人情報漏洩は法律的にどのような問題があるのですか? 個人情報保護法の目的外利用・第三者提供の禁止(第17条・第27条)に抵触する可能性があります。医療従事者による患者情報の不正な開示は、各医療職の資格に関する法律(保健師助産師看護師法・理学療法士及び作業療法士法等)における守秘義務違反にも該当し得ます。

参考情報

関連記事

米軍特殊部隊員、軍事機密をオンライン予測サイトで換金—ベネズエラ作戦の機密情報で約41万ドルを不正取得米軍特殊部隊員、軍事機密をオンライン予測サイトで換金—ベネズエラ作戦の機密情報で約41万ドルを不正取得 政府、牧野フライス製作所へのMBKパートナーズ買収を外為法で中止勧告—重要技術流出防止と経済安全保障の最前線【2026年最新】政府、牧野フライス製作所へのMBKパートナーズ買収を外為法で中止勧告—重要技術流出防止と経済安全保障の最前線【2026年最新】 イエローハット 子会社、「2りんかんアプリ」の会員の個人情報が漏洩の恐れイエローハット 子会社、「2りんかんアプリ」の会員の個人情報が漏洩の恐れ マツダ病院、業務委託先のクラウド設定ミスで626名分の患者情報が約1年8か月間閲覧可能な状態にマツダ病院、業務委託先のクラウド設定ミスで626名分の患者情報が約1年8か月間閲覧可能な状態に 市立奈良病院、4月24日救急と通常診療を再開-サイバー攻撃の個人情報漏洩やデータ破損なし確認市立奈良病院、4月24日から救急と通常診療を再開-サイバー攻撃の個人情報漏洩やデータ破損なし確認 双日テックイノベーション、委託先の設定不備で「おべんとね!っと」の個人情報流出の恐れ双日テックイノベーション、委託先の設定不備で「おべんとね!っと」の個人情報流出の恐れ 長野中央病院で元職員が十数年にわたりレジから現金を窃取—被害総額は数千万円規模か長野中央病院で元職員が十数年にわたりレジから現金を窃取—被害総額は数千万円規模か 東京都立大久保病院の委託先 ソラストの職員が患者情報を私的利用-個人情報を第三者へ漏洩東京都立大久保病院の委託先 ソラストの職員が患者情報を私的利用-個人情報を第三者へ漏洩 奈良県職員の健康診断結果が誤送信、142名分の要配慮個人情報が一斉送付される奈良県職員の健康診断結果が誤送信、142名分の要配慮個人情報が一斉送付される