社会医療法人きつこう会 多根総合病院は2026年3月17日、業務委託先事業者の従業員が、患者の個人情報を含むUSBメモリを紛失したと公表しました。対象となるのは、2026年1月5日から2月19日までの間に手術を受けた患者379人分の情報です。
何が起きたのか
今回の事案は、多根総合病院がSPD業務を委託している事業者の従業員が、業務で使用するためUSBメモリに診療データを保存し、その後所在不明になったものです。病院の説明によると、当該従業員は2026年2月18日に、事業者が所有するUSBメモリへ要配慮個人情報を含む診療データを保存しました。翌19日、再度業務で使用するため所定の保管場所へ取りに行ったところ、USBメモリが見当たらず、紛失が判明したとしています。
事業者は直ちに関係箇所の捜索や関係者への聞き取りを実施し、2月20日に病院へ報告しましたが、3月17日時点でも発見には至っていません。なお、当該USBメモリは院内のパソコン間で使用する運用で、院外へ持ち出して利用するものではなかったとしています。
紛失したUSBメモリに保存されていた情報
対象患者数は379人です。病院によると、保存されていたのは、2026年1月5日から2月19日までの間に、緊急を除く手術を実施した患者の情報でした。具体的には、ID、氏名、性別、生年月日、病名、術式、診療科、病棟、麻酔の種類、執刀医名、麻酔科医名、そのほか手術室スタッフの情報が含まれていたとしています。加えて、院内電話の内線一覧表も保存されていました。
一方で、マイナンバー、健康保険証の記号・番号、住所、電話番号などの連絡先情報、クレジットカード番号は含まれていなかったと説明しています。
シャドーITの観点で見た今回の問題
今回の事案は、単なるUSBメモリ紛失としてだけではなく、シャドーITのリスクが表面化した事例として捉える必要があります。病院の公表内容では、紛失したのは委託先事業者が所有するUSBメモリでした。つまり、組織として統制された資産管理や暗号化ポリシーの下にない記録媒体が、要配慮個人情報を扱う業務に入り込んでいたことになります。
シャドーITとは、情報システム部門や組織の正式な承認、管理、監視の枠外で利用される機器やクラウドサービス、アプリケーションなどを指します。
今回のように、委託先が独自に用意したUSBメモリを業務で使っていたのであれば、実態としてはシャドーITに近い運用だったといえます。院内で使うだけだから問題ないという現場判断があったとしても、暗号化されていない媒体に患者情報を保存していた時点で、組織的な統制から外れた運用だった可能性が高いからです。
シャドーITがもたらすリスク
シャドーITの厄介な点は、利用している本人に問題意識が乏しいまま、業務効率化の名目で広がりやすいことです。今回のケースでも、院外持ち出しを前提としていないUSBメモリだったことが、かえってリスク認識を鈍らせた可能性があります。しかし、院内限定の利用であっても、管理台帳に載っていない媒体、暗号化設定が統一されていない媒体、誰がいつ何を保存したか追跡しにくい媒体は、それ自体が漏えいリスクになります。
特に医療機関では、要配慮個人情報を扱うため、シャドーITの影響は一般企業以上に深刻です。許可されていない媒体や私物端末、未承認のクラウドストレージが入り込むと、アクセス制御、ログ取得、暗号化、廃棄管理といった基本統制が効かなくなります。結果として、紛失、誤送信、不正持ち出し、委託先経由の漏えいといった事故が起きた際に、影響範囲の特定も遅れます。
関連記事
富山大学附属病院、SDカード紛失による個人情報漏洩の可能性
日本原子力研究開発機構、委託先の不正アクセスで個人情報漏洩の可能性を公表
PornHub(ポルノハブ)のプレミアム会員の視聴履歴がサイバー攻撃で漏洩の可能性-解析ソフトMixpanelが原因か
PornHub(ポルノハブ)、サイバー攻撃で個人情報漏洩 さらにハッカーが本格的な恐喝を開始
北海道恵庭南高校で教諭が生徒・保護者の連絡先を消費者金融業者へ送信し個人情報漏洩
シアトル港、2024年のサイバー攻撃で約9万人に影響
奈良県職員の健康診断結果が誤送信、142名分の要配慮個人情報が一斉送付される
TOKYO FM、情報漏洩は確認できず-ハッカーがサイバー攻撃で約316万件の個人情報窃取を主張
みずほ銀行、再々委託先で専用端末の記録媒体を紛失し情報流出の恐れ-最大約4.3万社に影響も
