埼玉病院で、患者19人分の氏名・年齢などが記載された書類が所在不明になったことが公表されました。原因はサイバー攻撃ではなく、看護補助者が作業用の台車に書類を直接置いたまま別の病棟へ移動し、戻ったときには書類がなくなっていたという、ごく日常的な業務の中での紛失です。技術ではなく運用と「うっかり」が引き金になった、情シスにとって見落としやすいタイプの事案です。
本稿は単なる事件紹介ではなく、サイバー対策に偏りがちな情報セキュリティ担当者が、紙・物理媒体の漏えいリスクをどう捉え直すべきかを実務目線で整理します。
この記事でわかること
- 埼玉病院で起きた書類紛失の事実関係(公表ベース)
- 「紙の漏えい」が情シスの盲点になりやすい理由
- 医療情報の漏えいに伴う個人情報保護委員会への報告義務の考え方
- 自社で見直すべきポイントと、参照すべき公的指針
何が起きたのか
埼玉病院の公表によると、看護補助者がシーツ交換の対象患者に印を付けた書類を作業用台車の2段目に置いたまま別の病棟へ移動し、元の病棟へ戻る際に書類の紛失に気づいたとされています。書類はバインダー等に挟まれず、台車に直接置かれていました。判明後、移動経路を確認したものの発見できず、対象患者へ経緯の説明と謝罪を行ったと説明されています。本稿執筆時点で二次被害の有無は公表情報からは確認できません。
| 項目 | 内容(公表ベース) |
|---|---|
| 発生日 | 2026年5月7日 |
| 公表日 | 2026年6月17日 |
| 対象 | 患者19人分の書類 |
| 記載情報 | 氏名・年齢など |
| 経緯 | 作業用台車に直接置いたまま移動し紛失 |
| 原因類型 | 内部要因(管理・運用のミス)/非サイバー |
規模だけ見れば19人分と小さく、世間の注目も集まりにくい事案です。しかし「派手な攻撃ではない、ありふれた紙の紛失」こそ、どの組織でも明日起こりうるという点で示唆に富みます。
なぜ「紙の漏えい」は情シスの盲点になりやすいのか
情報漏えいの多くは、高度なサイバー攻撃ではなく紙・物理媒体や人的ミスから起きるためです。ファイアウォールやEDRの導入状況はダッシュボードで把握できますが、現場で誰がどの書類を台車に載せて持ち歩いているかは、情シスの管理画面には映りません。ここに構造的な死角があります。
とくに次のような業務は、技術的対策の射程外になりがちです。
- 印刷した名簿・帳票を持ち歩く、机上に放置する
- USBメモリや紙の資料を部署間・拠点間で移動する
- FAX誤送信、郵送物の封入ミス
- 離席時の画面ロック忘れ、共有スペースでの書類置き忘れ
いずれも「ルールはあるが現場で守られているか確認しづらい」点が共通します。技術投資の効果が及ばない領域だからこそ、運用と教育で埋める必要があります。
医療情報が漏れた場合、報告義務はあるのか
要配慮個人情報が含まれる漏えいは、人数にかかわらず(たとえ1件でも)個人情報保護委員会への報告・本人通知の対象になり得ます。2022年4月施行の改正個人情報保護法で、(1)要配慮個人情報を含む、(2)財産的被害のおそれ、(3)不正目的のおそれ、(4)1,000人超、のいずれかに該当する漏えい等は報告が義務化されました。
要配慮個人情報とは、本人への不当な差別や偏見が生じないよう取り扱いに特に配慮を要する個人情報で、病歴や診療・調剤を受けた事実などが該当します。今回の書類が「特定の病院で診療を受けている患者の一覧」である以上、記載が氏名・年齢中心であっても、医療情報として要配慮個人情報に該当すると判断される可能性があります。該当する場合、原則として速報(おおむね3〜5日以内)と確報の報告が求められます。
個々の事案が報告対象に当たるかは、含まれる情報の内容や漏えいのおそれの程度によって変わります。自組織で同種の事案が起きたときに「報告不要」と早合点せず、まず個人情報保護委員会のガイドラインに照らして判断する姿勢が重要です。
情シスはどうすべきか(公的指針への誘導)
紙・物理媒体の漏えいは、自前で長大なチェックリストを作るより、公的機関が整理した指針を起点にするほうが確実で運用も続きます。まずは次を参照してください。
- 中小企業の情報セキュリティ対策ガイドライン(IPA):紙・物理媒体の持ち出しや保管のルール作りの土台になります。
- 情報セキュリティ対策のしおり(IPA):現場の従業員向け啓発資料として配布・回覧に使えます。
- 漏えい等の対応とお役立ち資料(個人情報保護委員会):報告要否の判断や本人通知の手順を確認できます。
そのうえで、現場目線で効く打ち手を一言だけ添えるなら、(1)持ち出す書類は必ずバインダーやファイルに綴じて「裸で置かない」運用にする、(2)個人情報を含む帳票には保管・廃棄のルールと持ち出し記録を紐づける、の2点です。ルールを増やすより、現場が無意識に守れる形に落とすことが定着の鍵になります。
そして地道ではありますが、こうした事故は最終的に一人ひとりの行動で防がれます。「台車に裸で置かない」を全員の習慣にするユーザ教育・啓発こそ、もっとも費用対効果の高い対策だと、現場では実感します。
現場目線の所感
正直なところ、情シスの立場でこの種の事案を完全に防ぐのは難しいというのが本音です。端末の脆弱性やログは仕組みで見張れても、看護補助者が台車に書類を置く一瞬までは目が届きません。限られた人員でサイバー対策に追われるなかで、紙の運用まで踏み込めていない組織は多いはずです。
だからこそ、現場を責める前に「裸で置かざるを得ない動線になっていないか」「綴じる手間が省略される運用になっていないか」を一緒に見直す姿勢が要ります。今回の事案は規模こそ小さいものの、自組織の物理媒体管理を点検するよい機会として受け止めたいところです。
まとめ
- 埼玉病院で患者19人分の書類が台車から紛失。サイバー攻撃ではなく運用ミスが原因で、どの組織でも起こりうる。
- 医療情報など要配慮個人情報を含む漏えいは、人数にかかわらず個人情報保護委員会への報告対象になり得る。早合点せずガイドラインで判断を。
- 紙・物理媒体は技術投資の射程外。IPA・個人情報保護委員会の公的指針を起点に、現場が守れる運用と継続的な啓発で死角を埋める。
コメント