藤田医科大学病院の個人情報漏えい事案から考える、医療機関・企業が見直すべき端末管理

藤田医科大学病院で患者情報漏えいの可能性

藤田医科大学病院は2026年6月3日、患者1365人分の個人情報が外部に漏えいした可能性があると発表しました。

同院の発表によると、勤務する看護師が院内規程に反して患者情報を個人のノートパソコンに保存しており、そのパソコンがサポート詐欺の被害に遭ったことが原因とされています。

漏えいした可能性がある情報には、患者の氏名、性別、生年月日、病名、検査データなどが含まれていたとされています。

なお、病院側は、サポート詐欺被害は個人PCのみにとどまっており、電子カルテを含む病院本体のシステムへの影響はないことを確認したと説明しています。

今回の事案で注目すべきポイント

今回の事案は、病院の医療情報システムが直接攻撃されたものではなく、職員が個人PCに保存していた患者情報が、サポート詐欺をきっかけに漏えいした可能性があるという点が特徴です。

つまり、問題の中心は次の3つです。

1つ目は、院内規程に反して患者情報が個人PCに保存されていたこと。

2つ目は、その個人PCがサポート詐欺によって遠隔操作などの被害を受けたこと。

3つ目は、業務情報が管理外の端末に存在していたため、組織側が十分に制御しにくい状態になっていたことです。

テレビ愛知の報道でも、私物PCへの個人情報保存は禁止されていたものの、今回の事案を受けて職員研修や実態調査などの再発防止策を進めるとされています。

サポート詐欺とは何か

サポート詐欺とは、パソコンやスマートフォンの画面に偽の警告を表示し、利用者に偽のサポート窓口へ連絡させる詐欺の手口です。

典型的には、次のような流れで被害が発生します。

偽の警告画面が表示される

表示された電話番号やURLへ誘導される

遠隔操作ソフトの導入や操作を求められる

端末内の情報を見られる・操作される

金銭請求や情報漏えいにつながる

今回のように、端末内に業務上の機密情報や個人情報が保存されていると、サポート詐欺は単なる金銭被害にとどまらず、情報漏えいインシデントへ発展する可能性があります。

医療情報は特に慎重な管理が必要

医療機関が扱う情報には、氏名や生年月日だけでなく、病名、検査結果、診療内容など、極めてセンシティブな情報が含まれます。

こうした情報は、本人のプライバシーに深く関わるため、一般的な顧客情報以上に慎重な管理が求められます。

特に医療機関では、業務上必要な情報を扱う場面が多い一方で、現場判断によるデータ持ち出し、私物端末の利用、USBメモリや個人クラウドへの保存などが起きると、組織の管理範囲から外れた場所に重要情報が残ってしまいます。

今回の事案は、そうした「管理外端末に情報が残るリスク」を改めて示したものといえます。

企業にも共通するリスク

今回の事案は医療機関で発生したものですが、同じ構造のリスクは多くの企業にも存在します。

たとえば、金融機関、決済サービス、EC、会員アプリ、SaaS、自治体、教育機関などでも、次のようなケースは注意が必要です。

顧客リストを個人PCに保存している
業務データを私物USBで持ち出している
個人のクラウドストレージに業務ファイルを置いている
個人メール宛に業務データを送っている
退職者や異動者の端末に情報が残っている

攻撃者から見ると、企業本体のシステムを直接攻撃するよりも、管理が甘い個人端末や周辺環境を狙う方が簡単な場合があります。

そのため、情報漏えい対策では、サーバーやクラウドの防御だけでなく、「業務データがどこに保存されているか」を把握することが重要です。

企業が確認すべき5つの対策

1. 個人PCへの業務データ保存を禁止・制御する

規程で禁止するだけでは不十分です。

実際に個人PCへ保存できない仕組み、または保存された場合に検知できる仕組みを整える必要があります。

たとえば、業務端末の貸与、VDI、DLP、クラウドストレージの権限制御などが検討対象になります。

2. 業務端末と私物端末を分離する

BYODを許可する場合でも、業務データが私物領域に保存されないように設計する必要があります。

モバイル端末では、MDMやMAMを使って、業務アプリ・業務データ・個人領域を分離することが有効です。

3. USB・個人クラウド・個人メールへの持ち出しを制限する

情報漏えいは、外部攻撃だけでなく、日常業務の「少しだけ持ち出す」行動からも発生します。

USBメモリ、個人Google Drive、個人Dropbox、個人メールなどへの保存・転送は、ルールと技術の両面で制御する必要があります。

4. サポート詐欺への教育を定期的に行う

サポート詐欺は、ITリテラシーの高低に関係なく被害が起きる可能性があります。

特に、警告音、全画面表示、電話番号表示、「今すぐ対応しないと危険」といった心理的圧力を使うため、事前に手口を知っているかどうかが重要です。

職員教育では、次のような行動を徹底する必要があります。

画面に表示された電話番号へ連絡しない
指示されたURLへアクセスしない
遠隔操作ソフトを入れない
金銭を支払わない
迷ったら社内の情報システム部門へ相談する

5. インシデント時の報告ルートを明確にする

今回の事案では、看護師本人が専門業者へ調査・復旧を依頼した後、病院へ報告した流れが公表されています。

企業としては、従業員が不審な画面や遠隔操作被害に気づいた時点で、すぐに社内へ報告できる体制を整えておくことが重要です。

報告が遅れるほど、被害範囲の特定、証拠保全、外部通知、再発防止対応が難しくなります。

モバイル不正対策ラボの見解

今回の事案から学ぶべきことは、サポート詐欺そのものだけではありません。

より重要なのは、重要情報が「組織が管理できない端末」に保存されていた場合、どれだけ本体システムを守っていても情報漏えいにつながり得るという点です。

金融アプリや決済アプリ、会員サービスでも同じです。

認証を強化する、アプリを保護する、ログイン後の不正操作を検知する、といった対策は重要です。

しかしその前提として、顧客情報や取引情報がどの端末に保存され、誰がアクセスでき、外部へ持ち出せるのかを管理できていなければ、別の経路から漏えいする可能性があります。

特に、医療・金融・決済・公共領域では、次のような多層的な管理が必要です。

認証管理
端末管理
データ持ち出し制御
ログ監視
職員教育
インシデント対応手順

サイバー攻撃対策は、セキュリティ製品の導入だけで完結するものではありません。

業務運用、端末利用ルール、教育、初動対応まで含めて設計することが重要です。

まとめ

藤田医科大学病院の事案は、病院本体のシステムが直接侵害されたものではなく、院内規程に反して患者情報を保存していた個人PCがサポート詐欺の被害に遭ったことで、個人情報漏えいの可能性が生じたものです。

この事案は、医療機関だけでなく、顧客情報や機密情報を扱うすべての企業にとって重要な教訓になります。

特に確認すべきポイントは、次の5つです。

個人PCに業務データを保存していないか
私物端末・USB・個人クラウドへの持ち出しを制御できているか
サポート詐欺への教育を行っているか
不審な事象をすぐ報告できる体制があるか
情報漏えい時の初動対応を整理できているか

情報漏えいは、高度な攻撃だけで起きるわけではありません。

日常業務の中で発生する小さなルール違反や、管理外端末の利用が、大きなインシデントにつながることがあります。

医療機関、金融機関、決済サービス、会員アプリ運営企業は、今回の事案をきっかけに、端末管理と情報持ち出し対策を改めて確認しておくべきでしょう。

関連記事