北海道医療センターなどを運営する独立行政法人国立病院機構は6月8日、北海道医療センター(札幌市西区)と北海道がんセンター(札幌市白石区)の患者や職員などの個人情報が入ったハードディスクが外部に流出していたことを発表しました。
個人情報が流出した被害人数は判明していませんが、最大で51万人分になる可能性があります。
国立病院機構によりますと、2025年6月、ネットオークションでハードディスクを落札した一般の2人から「北海道医療センターのものと思われるデータが保存されている」と連絡がありました。
国立病院機構が落札者からハードディスクを買い取るなどして回収し確認したところ、北海道医療センターの患者や職員などの個人情報が入っていました。
この個人情報には氏名・住所などの他、診療情報や看護記録も含まれていました。
ただ、すべての診療情報や看護記録が個人の氏名などと、ひも付いているわけではありません。
国立病院機構は2024年3月、病院の電子カルテ更新で、患者や職員などの個人情報が入ったハードディスク約750台の破砕と廃棄処理を北海道石狩市の廃棄物処理業者に依頼しました。
ところが破砕・廃棄処理されたはずのハードディスクがネットオークションに出品されていました。
廃棄物処理業者は国立病院機構に「破砕前後のハードディスクが同じ形の容器で管理されていた。作業スペースの区分けが不十分だった」などと説明しているということです。
国立病院機構は情報漏洩の拡大を防止するため、インターネット上に出ていた90個のハードディスクを回収しました。
このすべてを今回と同じ廃棄物処理業者が破砕・処理していたわけではありません。
ただ、この中の一部に、北海道医療センターの他、北海道がんセンターの患者や職員など個人情報も入っていました。
流出した個人情報は2センター合わせて最大51万人分(北海道医療センター23万人分、北海道がんセンター28万人分)に上る可能性があるということです。
北海道がんセンターも2024年11月に今回と同じ廃棄物処理業者にハードディスク約570台の破砕と廃棄処理を依頼していました。
いずれも個人情報が不正に利用された形跡はありません。
今回の廃棄物処理業者は廃棄処理後、廃棄物処理法で定められている「マニュフェスト(廃棄処理を終えたことを示す書類)」を国立病院機構に発行していました。
ただ、「マニュフェスト」に書かれた廃棄処理が行われていなかったことから、国立病院機構は8日、廃棄物処理業者を廃棄物処理法違反の疑いで刑事告訴しました。
国立病院機構は9日から、個人情報が流出した患者に個別に文書で通知していく予定です。また、専用窓口も開設します。
国立病院機構は「個人情報が外部流通に至ったことを重く受け止めている。多大なご心配とご不安をおかけすることになり深くお詫び申し上げます」などとしています。
また、北海道によりますと、国立病院機構が回収した90台に、北海道が廃棄した2台が含まれていました。
1台には北海道庁道民生活課がまとめたイベント出席者の氏名、講師の謝費など98人分のデータが入っていました。
もう1台には、後志総合振興局がまとめた市町村や商工会関係者の名簿やセミナーの参加者などの名簿599人分が含まれていました。
北海道の内規では、産業廃棄物として業者に渡す前に北海道側が破砕して処分することになっていましたが、今回はこの作業を怠っていました。
北海道が過去5年間の同じ事案を確認したところ、2台の他に7台が適正な廃棄されたか確認できなかったということです。
北海道は「情報セキュリティ基準の認識に不足があった。道民の皆さまにご心配をおかけすることになり、深くおわび申し上げます」としています。
