電子カルテ更新で交換した端末のHDDが、破砕されないまま外部へ流通していました。北海道医療センターと北海道がんセンターの2施設で、回収されたHDDだけで実数約19万人分、廃棄対象全体では最大約51万人分の患者情報が流出した恐れがあります。原因は委託先が「破砕したか確認せずに転売」したこと。自社が機器の廃棄を外部に任せているなら、今すぐ「破砕・消去の証跡をどう確認しているか」を点検すべき事案です。現時点で個人情報の不正利用は確認されていません。
この記事でわかること
- 北海道2病院で起きたHDD流出の事実関係(件数・流通の経緯・公表日)
- なぜ「委託したのに漏れた」のか、廃棄プロセスのどこに死角があったか
- 2019年の神奈川県HDD転売事件との共通点と、繰り返される構造的な問題
- 情シスが委託先の廃棄を点検する際の着眼点と、参照すべき公的指針
何が起きたのか
国立病院機構の北海道医療センター(札幌市西区)と北海道がんセンター(札幌市白石区)は2026年6月8日、電子カルテシステムの更新に伴って廃棄した診療用端末の内蔵HDDの一部が、適切に破砕されないまま外部へ流通していたと公表しました。
流出が確認された個人情報の規模は次の通りです。
| 施設 | のべ件数 | 実数(人) |
|---|---|---|
| 北海道医療センター | 約176万件 | 約17万人 |
| 北海道がんセンター | 約2万5000件 | 約8800人 |
含まれていたのは、氏名・患者番号・生年月日・住所・電話番号に加え、診療日・診療科・入院に関する情報、病名・検査結果・アレルギー情報・看護記録の一部など、機微性の高い医療情報です。一方、マイナンバー・銀行口座番号・クレジットカード番号は含まれていないとされています。
なお、上記は回収されたHDDから確認された人数です。報道では、廃棄対象だったHDD全体を含めると最大で約51万人分に及ぶ可能性が指摘されていますが、これは流出規模の上限としての推計であり、全件の流出が確認されたものではありません。情シスとして引用する際は「確認された約19万人」と「上限推計の約51万人」を区別して扱うのが安全です。
どこで破砕が抜け落ちたのか — 委託の連鎖と確認の不在
問題の核心は、廃棄が「複数の業者をまたぐ連鎖」になっていたのに、各段階で破砕の事実確認が抜け落ちていた点です。報道によれば、両センターから廃棄を請け負った石狩市の産業廃棄物処理業者は、作業員が実際に破砕したかを確認しないまま別の業者へ売却。さらに購入した道内のリサイクル業者も破砕を確認せず道外業者へ転売しました。同社は「不注意によるミス」と説明しています。
発覚のきっかけは、ネットオークションでHDDを落札した人物からの連絡でした。2025年6月に「HDDに病院のものと思われるデータが保存されている」と指摘があり、翌7月に回収・調査した結果、患者らの個人情報が判明したという経緯です。
つまり、組織は「破砕してほしい」と依頼はしていたものの、破砕されたという証跡(証明書・立会い・台数照合)で裏取りする仕組みがなかった。委託契約があっても、それが履行されたことを確認する最後の一手が欠けると、情報は容易に物理媒体ごと外へ出ていきます。
これは「またか」の事件 — 2019年神奈川県の教訓は生きたか
廃棄媒体からの情報流出と聞いて、2019年の神奈川県のHDD転売・情報流出事件を思い出した方も多いはずです。県のリース機器のHDDが、データ消去を請け負った事業者の従業員によって持ち出され、オークションに出品。最大54TB相当の行政データが流出したとされる事案でした。当時から「破壊証明書を取っていたか」「HDDをシリアル番号で個別管理していたか」が問われ、委託先任せの危うさが繰り返し指摘されました。
今回の事案も、媒体の物理的な行方を組織側が追跡できていなかったという点で構造は同じです。「信頼できる業者に頼んだから大丈夫」という前提が、いかに脆いかを改めて突きつけています。
現場目線の課題 — 廃棄は「終わったこと」になりやすい
正直なところ、機器の廃棄は情シスにとって優先順位が上がりにくい工程です。新システムの稼働や日々の運用に追われるなかで、退役した端末は「もう使わないもの」として意識から外れがちです。更新プロジェクトの華やかな部分(新環境の構築)には人手も予算も付きますが、旧機器の廃棄は契約書を交わした時点で「片付いた」気になってしまう。
しかし、退役機器には現役時代のデータがそのまま残っています。限られた人員で、何百台もの廃棄機器一台ずつの行方を追うのは現実には骨が折れます。それでも、媒体が物理的に手を離れる瞬間こそ、組織が情報のコントロールを失う最大のリスクポイントだという認識を、プロジェクトの最初から持っておく必要があります。
情シスはどうすべきか — 委託でも残る「自らの監督責任」
廃棄を外部委託しても、個人データの安全管理措置と委託先の監督義務は委託元に残ります。何を確認すべきか、まずは公的指針に当たるのが近道です。
- 個人情報保護委員会(PPC)「データの消去に関する注意喚起」:委託先が確実に処理を行ったことを証明書等で確認すること、廃棄を請け負う事業者にも安全管理措置・再委託先の監督義務が及ぶことが整理されています。委託元・委託先双方の責任を把握する出発点として参照してください。
https://www.ppc.go.jp/news/careful_information/data_syokyo/ - IPA「中小企業の情報セキュリティ対策ガイドライン」:記憶媒体の廃棄・データ消去の基本(物理破壊・上書き消去・廃棄証明の入手など)を平易にまとめています。社内ルール整備のベースに。
https://www.ipa.go.jp/security/guide/sme/index.html
そのうえで、現場での使いどころとして押さえたい観点を一言ずつ挙げます。破砕・消去の方式を契約で明記する(消去はNIST SP 800-88などの基準に沿うか)、媒体をシリアル番号で台数管理し引き渡し台数と証明書を照合する、重要度の高い媒体は立会いまたは社内での物理破壊を原則とする——この3点だけでも、今回のような「確認の不在」はかなり潰せます。両センターも再発防止策として、院内での物理的破壊の原則化、廃棄工程での複数人確認、委託先選定・管理の厳格化を挙げています。
加えて、廃棄手順を現場の担当者へ周知し、「証跡なき廃棄は完了とみなさない」という意識を地道に根付かせる啓発も欠かせません。仕組みは運用する人が理解して初めて機能します。
まとめ
- 北海道の国立病院2施設で、廃棄委託したHDDが破砕されず転売され、確認分で約19万人(上限推計で約51万人)の患者情報が流出した恐れ。発覚は落札者からの連絡だった。
- 委託の連鎖の各段階で破砕の事実確認が抜け落ちていたことが核心。2019年神奈川県の事件と同じ「委託先任せ」の構造が繰り返された。
- 委託しても監督責任は残る。証明書での裏取り・シリアル番号での台数管理・重要媒体の立会いまたは社内破壊を、PPC/IPAの公的指針を起点に整備したい。
出典
- Security NEXT「廃棄PCの内蔵HDD、破砕されずに外部流通 – 道がんセンター」
https://www.security-next.com/185938 - INTERNET Watch「北海道医療センター・北海道がんセンターで、患者の個人情報を含むHDDが外部に流通。廃棄処理業者が破砕せず」
https://internet.watch.impress.co.jp/docs/news/2115720.html - 北海道新聞「HDD破砕確認せず売却 産廃業者『不注意でミス』 北海道内2病院の情報流出」
https://www.hokkaido-np.co.jp/article/1322847/ - 個人情報保護委員会「データの消去に関する注意喚起」
https://www.ppc.go.jp/news/careful_information/data_syokyo/ - 参考:2019年神奈川県HDD転売・情報流出事件(経緯の整理)
2019年神奈川県HDD転売・情報流出事件 – Wikipedia
コメント