国立病院機構は2026年6月8日、北海道札幌市にある「北海道医療センター」と「北海道がんセンター」の2つの病院において、患者や職員ら最大で計約51万人分の個人情報が含まれたハードディスクが外部に流出した可能性があると発表しました。現時点で情報の不正利用や二次被害は確認されていません。
この事案は、電子カルテ機器の更新に伴い、2024年に約2万個の端末の破壊処分を北海道石狩市にある廃棄物処理業者へ委託したものの、同業者が粉砕作業を行わずにインターネットオークションで転売していたものです。オークションでの落札者から情報提供があったことで事態が発覚しました。
これまでに回収されたハードディスクのうち33個からは、実数で約17万人から約18万6千人分に上る氏名、患者番号、生年月日、住所、電話番号、診療記録などの個人情報が確認されています。なお、マイナンバーや銀行口座番号、クレジットカード番号といった金銭に直接関わる情報は含まれていません。病院側は、対象となる可能性のある人々へ順次、個別に出向いて書面を郵送するなどの対応を進めています。
これを受けて北海道医療センターなどは公式ウェブサイト上で謝罪し、今後の再発防止策として、個人情報を含む記録媒体の廃棄の際は外部に委託する前に院内で確実に物理的破壊を行うことや、廃棄工程で複数人による確認を必須とすること、委託先の選定および管理体制を厳格化することを表明しました。また、臨時の専用コールセンター(0120-008-602)を設置し、当面の間は土日を含めて問い合わせに対応するとしています。
コメント