何が起きたか:藤田医科大学病院(愛知県)で、看護師が自宅の私物PCで偽のセキュリティ警告(サポート詐欺)に遭い、端末を遠隔操作された結果、患者1,365件分の個人情報が外部に流出した可能性があると2026年6月12日に公表されました。誰に関係するか:「サポート詐欺は個人の不注意」で済ませている全ての組織。今すぐ何を:業務データが私物端末に存在しないかの再点検と、偽警告画面への正しい対処法の全社周知です。
本件は単なる「個人が騙された話」ではありません。情シスにとっては、サポート詐欺という手口と私物PCへの業務データ持ち出し(規程違反・シャドーIT)という二つの問題が重なって被害に直結した、教科書のようなケースです。
- この記事でわかること
- 今回の被害の経緯と、流出した可能性のある情報の中身
- なぜ「私物PC」が患者情報流出につながったのか(本質的な原因)
- サポート詐欺の手口と、画面が出たときの正しい対処法
- 情シスが自社で確認・周知すべきことと、公的指針の使いどころ
何が起きたのか
病院の公表によると、2026年5月25日、看護師が自宅の私物パソコンでWebサイトを閲覧中に偽のセキュリティ警告画面が表示され、画面に記載された連絡先へ電話。指示に従って操作した結果、端末を遠隔操作され、ウイルス駆除費用を要求されました。
その後、本人に身に覚えのないクレジットカード請求や携帯電話アカウントの変更通知が届いたことから業者に調査を依頼し、サポート詐欺と判明。調査の過程で、この私物PCに院内規程に反して患者の個人情報が保存されていたことが明らかになり、流出の可能性があるとして公表に至りました。
流出した可能性のある情報
対象は1,365件で、含まれる情報は以下のとおりです。氏名と病名・検査データがひも付く、機微性の高い医療情報です。
| 項目 | 内容 |
|---|---|
| 件数 | 1,365件 |
| 情報の種類 | 氏名、性別、生年月日、病名、入退院日、検査データ |
| 対象患者 | 2024〜2025年の末期腎不全登録者・腹膜透析患者、2021〜2024年の腎代替療法指導を受けた患者の一部 |
| カルテシステム | 病院のカルテシステムへの影響は否定 |
| 公表日 | 2026年6月12日(発生は同年5月25日) |
病院側はカルテシステム本体への侵入は否定しており、流出経路はあくまで私物PCに保存されていたデータです。ここが今回の核心です。
サポート詐欺とは何か
サポート詐欺とは、PC画面に偽のウイルス感染警告やけたたましい警告音を表示し、不安をあおって偽サポート窓口へ電話させ、遠隔操作ソフトの導入や金銭・カード情報をだまし取る手口です。近年も相談が後を絶たず、IPAの安心相談窓口では過去に月500件超の相談が寄せられた月もあります。
典型的な流れはシンプルです。だからこそ「知っていれば防げた」ケースが多いのが実情です。
- Web閲覧中に突然、全画面の警告と警告音が表示される
- 「マイクロソフト」などをかたる電話番号が示され、電話を促される
- 電話するとオペレーターが遠隔操作ソフトの導入を指示
- 遠隔操作を許すと、駆除費用名目の請求やカード情報の窃取、端末の操作が行われる
偽警告画面が出たらどうすればよい?
答え:電話せず、操作もせず、画面を閉じるのが基本です。全画面表示で閉じるボタンが見当たらない場合は、「ESCキーを2〜3秒長押し」して全画面を解除し、ブラウザを閉じます。それでも消えなければPCを再起動します。表示された電話番号には絶対にかけないことが最重要です。IPAは、この閉じ方を安全に練習できる体験サイトも公開しています。
なぜ患者情報が流出したのか — 本当の原因
サポート詐欺自体はきっかけにすぎません。被害を「個人情報流出」にまで拡大させた本当の原因は、業務データ(患者情報)が私物PCに保存されていたこと、つまり院内規程違反のシャドーITです。
会社支給の管理された端末であれば、暗号化やEDR、データ持ち出し制限が効き、遠隔操作されても被害をある程度封じ込められた可能性があります。しかし管理外の私物PCにデータが平置きされていれば、端末を乗っ取られた時点で中身は丸ごと危険にさらされます。「誰が・どの端末に・どんなデータを置いているか」を組織が把握できていないことが、今回の被害を深刻化させた構造的な弱点です。
現場目線の課題
正直なところ、これは「規程を作れば防げる」という単純な話ではありません。現場には「自宅で続きの作業をしたい」「個人のスマホ・PCの方が早い」という切実な業務都合があり、禁止するほど水面下に潜るのがシャドーITの厄介さです。情シスからは私物端末の中身は見えず、インシデントが起きて初めて「そんな所にデータが」と判明する——今回の構図は、多くの組織が抱えるもどかしさそのものです。
「禁止」を貼り出すだけでなく、正規の手段で安全に持ち出せる選択肢(VPN・VDI・クラウドストレージの権限管理など)を用意し、なぜ危険なのかを腹落ちさせる教育とセットにしないと、現場は動きません。地道なユーザー啓発こそが、最後の砦になります。
情シスはどうすべきか
自前で長大なチェックリストを作る前に、まず公的な指針を起点にするのが近道です。要点だけ添えて紹介します。
- サポート詐欺の手口と対処:IPAの偽セキュリティ警告(サポート詐欺)対策特集ページ。画面例・対処手順・閉じ方体験サイトがあり、社内研修の教材にそのまま使えます。最新の傾向はサポート詐欺レポートで把握できます。
- 従業員向けの啓発全般:IPAの情報セキュリティ対策のしおり。エンドユーザーに配りやすい形でまとまっています。
- 組織としての体制づくり:中小企業の情報セキュリティ対策ガイドライン。私物端末・データ持ち出しのルール整備の考え方が参考になります。
あわせて自社で確認したいのは次の3点です。(1) 業務データを私物端末に保存・転送していないか(メール添付・USB・個人クラウド含む)、(2) 偽警告画面への対処法が全従業員に周知されているか、(3) 万一の遠隔操作・カード情報窃取に備え、相談・初動の連絡フローが決まっているか。
まとめ
- 藤田医科大学病院で、看護師の私物PCがサポート詐欺で遠隔操作され、患者1,365件分の情報流出の可能性が公表された(2026年6月12日)。
- 被害を拡大させた本当の原因は、業務データが管理外の私物PCに保存されていた規程違反(シャドーIT)。手口より「データの置き場所」が問題だった。
- 情シスは、偽警告への対処法の周知(電話しない・ESC長押しで閉じる)と、私物端末へのデータ持ち出しの可視化・正規手段の提供を、IPAの公的教材を活用して進めたい。
コメント