富山大学附属病院、SDカード紛失による個人情報漏洩の可能性|セキュリティニュース

投稿日時: 2025年05月30日更新日時: 2025年05月30日

2025年5月29日、富山大学附属病院は、同院の形成再建外科・美容外科に所属する医師が患者の診療目的で保存していたSDカードを紛失し、個人情報が外部に流出した可能性があることを公表しました。本件により、患者の画像データを含む個人情報が外部に持ち出され、不適切に管理されていた事実が明らかとなりました。

1 紛失したSDカードに保存されていた情報
2 経緯：SDカード紛失から報告、謝罪まで
3 シャドーITとは：病院内でも無視できない情報管理リスク
4 シャドーITの主なリスク
5 シャドーITへの対策

紛失したSDカードに保存されていた情報

問題のSDカードには、当該医師が診察・手術を行った患者の顔や胸腹部、四肢を含む診療画像データ、氏名、患者IDなどが保存されており、初診から経過観察に至るまでの一連の医療情報が含まれていたとされています。

また、調査の過程で同医師の自宅に、あさひ総合病院所有の外付けHDD（同院および富山大学附属病院の患者情報を含む）と、当該医師個人所有の外付けSSD（病院の患者情報を含む）が保管されていた事実も判明しています。

経緯：SDカード紛失から報告、謝罪まで

SDカードの紛失は2025年5月16日に手術後の画像保存作業後に発生し、医師が紛失に気づいたのは19日でした。その後、以下のような経過で対応が行われました。

5月21日：診療科長および病院長への報告、病院全体での捜索を実施
5月23日：内閣府個人情報保護委員会および文部科学省への第一報を提出
5月26日：紛失届を警察に提出、さらに別の記録媒体（外付けSSD）の存在を報告
5月27日以降：患者への文書および電話による謝罪開始

現時点でSDカードは未発見ですが、外部での不正使用は確認されていないとしています。

シャドーITとは：病院内でも無視できない情報管理リスク

今回の事案は、「シャドーIT（Shadow IT）」の典型例と言えます。シャドーITとは、組織が正式に承認していないIT機器やサービスを、個人または部門が独自に導入・利用することを指します。

本件では、当該医師が個人所有のSDカードや外付けSSD・HDDに患者情報を保存しており、病院の情報セキュリティ管理の枠組み外で情報が取り扱われていたことが判明しています。こうした機器は、病院のセキュリティポリシーによる制御が効かず、盗難・紛失・不正アクセスのリスクが著しく高くなります。

シャドーITの主なリスク

情報漏えい：管理されていない端末に保存された情報は、紛失や盗難で容易に漏えいする。
セキュリティ脆弱性：非管理デバイスはパッチ適用やセキュリティ更新が行き届かない。
インシデント対応の遅延：発生した問題の発見や原因特定が遅れ、被害が拡大する恐れ。
法令違反の可能性：個人情報保護法や医療情報の管理ガイドラインに抵触する可能性がある。

シャドーITへの対策

富山大学附属病院の対応を踏まえ、組織として講じるべきシャドーIT対策は以下の通りです。

対策	内容
IT資産の可視化	病院内で利用されているすべてのIT機器・ソフトウェアを把握する。定期的な棚卸しを実施。
許可制の運用ルール徹底	外部記録媒体やクラウド利用は申請・許可制とし、使用目的・保存データを明確化。
技術的制御の導入	管理外のUSBや外付けHDDの使用を制限するポリシーをエンドポイントセキュリティで強制。
職員教育の強化	セキュリティ意識向上のため、シャドーITの危険性を含めた継続的な研修を実施。
情報持ち出しルールの策定と監査	持ち出しに関する具体的ルールを定め、実際の運用状況を監査・記録。