藤田医科大学病院(愛知県豊明市)は2026年6月3日、同院の看護師が院内規程に違反して患者の個人情報を私物のノートパソコンに保存していたところ、当該パソコンがサポート詐欺の被害に遭い、患者1,365件分の個人情報が外部へ漏洩した可能性があると発表した。住所やクレジットカード情報は含まれておらず、病院の医療情報システムへの影響も確認されていないとしている。
3行要約
見出し
何が起きた:看護師が私物PCに無断保存していた患者1,365件分の個人情報が、サポート詐欺による不正侵入で外部流出した恐れ。
影響:氏名、生年月日、病名、検査データなどが対象。住所・電話番号・マイナンバー・クレジットカード情報は含まれない。
対応:対象患者に個別連絡、相談窓口を設置。全職員への研修と再発防止策の検証に着手。
わかっていること/わかっていないこと
わかっていること
・漏洩した可能性のある情報は計1,365件
・流出経路は、看護師の私物ノートPC1台が自宅でサポート詐欺被害に遭ったこと
・対象は末期腎不全、腹膜透析、腎代替療法指導を受けた患者の一部
・含まれる項目は氏名、性別、生年月日、患者ID、病名、転帰、入退院日、検査データの複数項目
・住所、電話番号、メールアドレス、マイナンバーカード、クレジットカードの情報は含まれず
・院内の電子カルテを含む医療情報システムへの侵入は確認されていない
わかっていないこと
・漏洩情報の不正利用の有無(現時点で確認はされていないが、否定はできず)
・流出データが第三者の手に渡った範囲
・私物PCへの無断保存がいつから常態化していたか
看護師宅で偽警告画面、指示通りURLを開き不正侵入受ける
同院の発表によると、発端は5月25日。当該看護師が自宅で私物PCを使ってウェブサイトを閲覧中、警告音とともに警告画面が表示され画面が停止した。看護師が画面の指示に従って連絡し、送られてきたURLにアクセスした結果、第三者による遠隔操作を許す状態となり、ウイルス駆除費用名目で金銭を要求されたという。いわゆる「サポート詐欺」の典型的な手口だ。
5月28日から30日にかけて、看護師の元には身に覚えのないクレジットカード請求や、携帯電話アカウント変更を知らせるメールが相次いで届いた。30日に看護師自身が専門業者へ調査と復旧を依頼し、詐欺被害および情報漏洩の可能性を指摘されたことで、同院への報告に至った。
報告を受けた同院の情報システム管理部門は5月31日から6月1日にかけて調査を実施。被害は当該私物PCにとどまり、カルテを含む院内システムへの影響は確認されなかったとしている。
対象は腎疾患患者 2004年からのデータも
漏洩した可能性のある1,365件の内訳は、2024〜2025年に末期腎不全の病名登録があった患者の一部、2004〜2025年に腹膜透析を受けた患者の一部、2021〜2024年に腎代替療法指導を受けた患者の一部。最も古いもので約20年前にさかのぼるデータが含まれることになる。
看護師が私物PCに患者情報を保存していた経緯について、同院は院内規程違反であると説明しているが、保存に至った業務上の事情や期間については現時点で公表していない。
対象患者に個別連絡、相談窓口を設置
同院は対象となる患者に対し、近日中に書面で経緯を報告するとしている。患者からの問い合わせ窓口として、事務部の専用電話(0562-93-2962、0562-93-9798)を月〜金曜の8時45分〜17時、土曜の8時45分〜12時30分に開設している。
メディアからの問い合わせは、運営する学校法人藤田学園の法人本部広報部(0562-93-2868、0562-93-2492、平日8時45分〜17時)が対応している。
再発防止策として、同院は全職員を対象とした個人情報保護の教育研修を実施するとともに、事案発生に至ったプロセスと課題を検証するとしている。
背景 医療機関で続くサポート詐欺・私物PC問題
サポート詐欺は近年、IPA(情報処理推進機構)が繰り返し注意喚起している手口で、偽の警告画面で利用者を不安にさせ、サポートを装って遠隔操作ソフトをインストールさせるのが典型だ。一度遠隔操作を許すと、PC内のファイル流出やオンラインアカウントの乗っ取りに直結する。
医療機関では、業務効率化を理由に職員が私物端末で患者データを扱う「シャドーIT」が以前から問題視されている。今回のケースは、院内ネットワークが堅牢でも、規程違反による端末持ち出しを起点に大量の患者情報が露出し得ることを改めて示した。
タイムライン
5月25日:看護師の私物PCがサポート詐欺被害。遠隔操作される
5月28〜30日:身に覚えのないクレジット請求や携帯アカウント変更通知が看護師宛に届く
5月30日:看護師が専門業者に調査・復旧を依頼。詐欺と情報漏洩の可能性を指摘され、同院へ報告
5月31日〜6月1日:同院情報システム管理部門が調査。被害は私物PCに限定、院内システムへの影響なしと確認
6月3日:同院が事案を公表