関西医科大学附属病院のUSBメモリ一時紛失から考える、医療機関の個人情報管理リスク

関西医科大学附属病院は2026年6月3日、患者約1,800人分の個人情報が保存されたUSBメモリを一時的に紛失していたと発表しました。

紛失したUSBメモリは数日後に発見・回収されており、現時点で情報の不正利用などの二次被害は確認されていないとされています。

一方で、USBメモリには患者氏名、患者ID、性別、病名、入退院日などが保存されていました。電話番号やクレジットカード情報は含まれていなかったものの、医療情報は非常に機微性が高く、慎重な管理が求められる情報です。

関西医科大学附属病院で何が起きたのか

今回の事案は、2026年2月、同院の脳神経内科に勤務する医師が使用していたUSBメモリを紛失したものです。

USBメモリには、患者約1,800人分の個人情報が保存されていました。含まれていた情報は、患者氏名、患者ID、性別、病名、入退院日などです。

その後、USBメモリは数日後に発見され、すでに回収されています。同院は、発見時の状況などから情報漏えいのリスクは極めて低いと説明しています。

USBメモリに含まれていた個人情報

今回のUSBメモリに含まれていた情報は、以下のようなものです。

  • 患者氏名
  • 患者ID
  • 性別
  • 病名
  • 入退院日

一方で、電話番号やクレジットカード情報は含まれていないとされています。

ただし、病名や入退院日といった医療情報は、一般的な連絡先情報よりも機微性が高い情報です。仮に外部に漏えいした場合、患者本人のプライバシー侵害や精神的な不安につながる可能性があります。

なぜUSBメモリの一時紛失が問題になるのか

今回の事案では、USBメモリは発見・回収されており、二次被害も確認されていません。

しかし、問題の本質は「最終的に見つかったかどうか」だけではありません。

重要なのは、患者情報を含むデータがUSBメモリという紛失・持ち出しリスクの高い記録媒体に保存されていた点です。

USBメモリは小型で持ち運びやすい一方、紛失しやすく、管理状況が個人任せになりやすい媒体です。暗号化やパスワード保護、利用申請、持ち出し記録などのルールが不十分な場合、情報漏えいリスクが高まります。

医療機関で個人情報管理が難しい理由

医療機関では、診療、研究、事務処理、部門間連携などのため、多くの職員が患者情報にアクセスします。

そのため、個人情報の取り扱いは「注意してください」という呼びかけだけでは十分ではありません。

特に医療情報は、以下のような特徴があります。

  • 情報の機微性が高い
  • 多くの職員が業務上アクセスする
  • 診療・研究・院内業務でデータ移動が発生しやすい
  • 現場判断で外部記録媒体が使われやすい
  • 紛失時の影響範囲確認に時間がかかる

そのため、医療機関では個人の注意だけに依存せず、組織として情報を持ち出せない・失くしても読めない・紛失時にすぐ対応できる仕組みが必要です。

企業・医療機関が確認すべきポイント

今回の事案を踏まえると、企業や医療機関では次の点を確認しておく必要があります。

1. USBメモリの利用ルールは明確か

USBメモリなどの外部記録媒体について、利用を原則禁止にするのか、申請制にするのかを明確にする必要があります。

業務上どうしても使用する場合でも、誰が、いつ、何の目的で、どの情報を保存したのかを記録できる仕組みが重要です。

2. 個人情報を保存する媒体は暗号化されているか

患者情報や顧客情報を外部記録媒体に保存する場合、暗号化やパスワード保護は必須です。

紛失そのものを完全に防ぐことは難しくても、紛失時に第三者が内容を読めない状態にしておくことで、被害拡大のリスクを抑えられます。

3. 保存する情報を必要最小限にしているか

外部媒体に保存する情報は、業務上必要な範囲に限定するべきです。

氏名、ID、病名、入退院日などをまとめて保存する必要が本当にあるのか、匿名化やID化で代替できないかを検討する必要があります。

4. 紛失時の報告フローは整備されているか

USBメモリや端末を紛失した場合、すぐに報告できる体制が必要です。

報告が遅れると、影響範囲の確認、関係者への連絡、再発防止策の検討も遅れてしまいます。

5. 教職員・職員への教育は継続されているか

情報管理ルールは、一度周知しただけでは定着しません。

特に医療機関のように多職種が関わる組織では、定期的な研修や具体的な事故事例を使った注意喚起が重要です。

モバイル不正対策ラボの見解

今回の事案は、外部からのサイバー攻撃ではありません。

しかし、情報漏えいリスクという意味では、不正アクセスやマルウェア感染と同じく重大なインシデントになり得ます。

特に注目すべきなのは、USBメモリが発見されたかどうかではなく、重要情報を可搬媒体に保存できる運用がどのように管理されていたかです。

医療機関や企業に求められるのは、職員個人の注意に依存する対策ではありません。

重要なのは、次のような仕組みです。

  • 重要情報を不用意に持ち出せない仕組み
  • 持ち出す場合も申請・記録される仕組み
  • 紛失しても第三者が読めない仕組み
  • 紛失時にすぐ報告・対応できる仕組み

情報管理は、セキュリティ部門だけの問題ではなく、現場業務と一体で考える必要があります。

まとめ

関西医科大学附属病院のUSBメモリ一時紛失事案では、患者約1,800人分の個人情報が保存されたUSBメモリが一時的に所在不明となりました。

USBメモリは数日後に発見・回収され、現時点で二次被害は確認されていません。

しかし、患者情報のような機微性の高い情報を外部記録媒体で扱う場合、紛失時のリスクを前提にした管理体制が必要です。

医療機関や企業は、USBメモリの利用ルール、暗号化、持ち出し管理、情報の最小化、紛失時の報告フローを改めて確認することが重要です。

情報漏えい対策では、「気をつける」だけでは不十分です。

重要情報を持ち出せない、失くしても読めない、万が一の際にすぐ対応できる仕組みを整えることが、再発防止の第一歩です。

あわせて読みたい