2025/12/22

徳島大病院で不正アクセス、患者ら1.9万件流出か　検査値は対象外、二次被害なし

---

徳島大学病院（徳島市）は22日、同病院のシステムに外部から不正アクセスがあり、患者や職員の個人情報約1万9千件が流出した可能性があると発表した。血液検査などを受けた患者の氏名や生年月日が含まれるが、検査結果そのものは流出していない。外部機関の調査では情報流出や不正使用の痕跡は確認されておらず、二次被害も出ていないという。

【重要なお知らせ】個人情報漏えいの可能性について │ ニュース │ 徳島大学病院 より引用

同病院によると、不正アクセスは10月11日から22日にかけて発生。29日に不正アクセスを検知し、外部のセキュリティ専門機関に調査を依頼していた。約2カ月にわたる調査を経て、22日に公表に至った。

検体検査システムなど標的に

流出の可能性があるのは、検体検査システムと看護キャリア支援システムの2系統。検体検査システムからは、7月25日から10月22日までの約3カ月間に同病院で血液検査や尿検査を受けた患者1万6945人分の情報が対象となった。内容は患者ID、氏名、性別、生年月日、検査の依頼内容など。同システムを扱った職員42人の氏名なども含まれる。

【重要なポイント】 検体検査システムから流出した可能性があるのは患者の基本情報と検査オーダーの内容のみで、血液検査や尿検査の結果（検査値）は含まれていない。病名や診断内容なども対象外という。

もう一つの看護キャリア支援システムからは、看護職員1933人分のユーザーID、パスワード、氏名、所属部署、メールアドレス、研修履歴などが流出した可能性がある。いずれも退職者を含む。

「痕跡なし」も可能性否定できず

西良浩一病院長は「外部機関による詳細な調査を実施した結果、現時点で情報の漏えいや不正使用の痕跡は確認されていない」と説明する。ただし、不正アクセスがあった事実は確認されており、情報が外部に持ち出された可能性は完全には否定できないとして、対象者への通知に踏み切った。

同病院は既に不正アクセスを受けたサーバーを遮断し、全パスワードを変更。ネットワーク構成も見直した。現在は通常通り診療を続けており、出荷や営業などの業務にも影響は出ていないという。

多要素認証導入へ、一部は閉鎖運用に

再発防止策として、同病院はセキュリティ監視体制を強化し、多要素認証を導入する方針。さらに一部のシステムについては、外部からのアクセスを遮断し、院内ネットワークからのみ利用できる閉鎖的な運用に移行する。

個人情報保護法に基づき、対象者には個別にメールや郵送で通知を開始した。「不審な連絡や身に覚えのない請求があった場合は連絡してほしい」と呼びかけている。問い合わせは専用のウェブフォームで受け付ける。

【西良病院長のコメント】

「関係する皆様には多大なご心配とご迷惑をおかけしたこと、また公表までに時間を要したことについても、深くお詫び申し上げます。今後もセキュリティ対策の強化に努め、再発防止に取り組んでまいります」

医療機関狙う攻撃、相次ぐ

医療機関を標的としたサイバー攻撃は近年急増している。患者の診療情報や個人情報を大量に保有する医療機関は、攻撃者にとって格好の標的だ。2024年には大阪の病院でランサムウェア攻撃により電子カルテが暗号化され、診療に支障が出る事例も発生した。

厚生労働省は医療機関に対し、定期的なセキュリティ点検や多要素認証の導入、バックアップ体制の整備などを求めているが、中小規模の医療機関では予算や人材の制約から対策が追いついていない現状もある。

今回の徳島大学病院のケースは、幸いにも機微な医療情報の流出や二次被害には至らなかったが、医療機関のセキュリティ対策の重要性をあらためて浮き彫りにした形だ。

流出可能性のある情報（約1.9万件）

▽検体検査システム（患者）：1万6945件
患者ID、氏名、性別、生年月日、検査依頼内容など
※検査結果（検査値）は含まれない

▽検体検査システム（職員）：42件
職員ID、氏名

▽看護キャリア支援システム：1933件
ユーザーID、パスワード、氏名、部署、メールアドレス、研修履歴など

 

お問い合わせ

徳島大学病院・専用フォーム
https://forms.office.com/r/eDTjv2KXcj

徳島大学病院
所在地：徳島県徳島市蔵本町2-50-1
特定機能病院、地域医療支援病院

関連記事

---

• B!

---

カテゴリ：セキュリティニュース
タグ：不正アクセス,徳島大学病院

---

---

関連記事

---