廃棄を委託したはずの医療用ハードディスク(HDD)がネットオークションに出品されていた——北海道の国立病院機構が抱えていた管理の穴は、患者・職員最大約51万人分の個人情報流出という深刻な結果を招いた。独立行政法人国立病院機構は2026年6月8日に事態を公表し、廃棄物処理業者「リプロワーク」(石狩市)を刑事告発したと明らかにした。
「破砕済み」の証明なしで転売が連鎖 #
両病院は電子カルテ更新に伴い、2024年3月〜11月にかけてHDD計約1,320台の破砕・廃棄をリプロワークに委託した。しかし同社は作業員が実際に破砕したかを確認しないまま別業者へHDDを売却し、購入した道内リサイクル業者もそのまま道外業者へ転売した。2025年6月、オークションで落札した第三者から「センターのデータが保存されていると思われる」と連絡が入り発覚。機構が公表するまでさらに約1年を要した。
漏えいのおそれがある情報は氏名・生年月日・住所・電話番号・病名・検査結果・アレルギー情報・看護記録の一部で、マイナンバーや金融口座情報は含まれない。ただし医療記録の感度は最高クラスであり、二次利用のリスクは無視できない。回収したHDD90個のうち電子カルテ情報が確認されたのは33個にとどまり、残りの所在は不明のままだ。
廃棄物こそ「攻撃ベクトル」になる #
ペネトレーションテスターやOSINTリサーチャーの間では、廃棄機器からのデータ回収は古典的かつ依然として有効な手法として知られている。本件は「外注すれば安全」という思い込みを突いた典型的なサプライチェーン型漏洩だ。破砕証明書の取得、第三者立ち会い、業者の現場確認といった多層管理が一切行われていなかったことが根本原因といえる。NIST 800-88 準拠の消去と物理破壊、証明書の取得を業者選定基準に組み込むことが、今後の再発防止に不可欠だ。
COMMENTS 0
No comments yet — be the first to leave one.