2026 年 5 月 19 日、大学医療機関を巡る個人情報関連のインシデントが立て続けに報じられた。東邦大学医療センター大森病院では業務委託先がペースメーカープログラマを紛失し、東北大学では附属病院の NAS が不正アクセスを受けた。種類の異なる事案だが、いずれも患者情報の漏えい可能性が「否定できない」段階にある。
端末紛失と侵入、それぞれの構図 #
東邦大病院の事案は、機器メンテナンスを担う業務委託先がペースメーカープログラマを紛失したというもの。この端末は患者の体内に植え込まれた医療機器と通信するための専用機で、内部に患者氏名や治療履歴が残っている可能性がある。物理紛失でも、端末アクセス時の認証強度や暗号化の有無で被害範囲は大きく変わる。
東北大学の事案は、附属病院ネットワーク上の NAS(ネットワーク接続ストレージ) が侵入を受けたケース。診療や研究データの共有用 NAS は組織内 LAN に置かれることが多く、SMB の脆弱性や弱いパスワードが侵入経路になりやすい。漏えい範囲特定と監査ログ解析が当面の焦点となる。
大学病院に特有の弱点 #
医療現場では治療業務が最優先となるため、業務委託先や研究用ストレージへのセキュリティ統制が後手に回りやすい。今回の 2 件は「端末管理」と「ネットワーク統制」という別角度の問題だが、共通するのは患者データの所在を組織が完全には把握できていなかった点だ。委託契約での暗号化要件と、NAS の認証境界の見直しは、医療機関に共通する宿題と言える。
参考 #
- ScanNetSecurity「東邦大学医療センター大森病院の業務委託先がペースメーカープログラマを紛失、個人情報が不正に閲覧される可能性が否定できない状況」 https://scan.netsecurity.ne.jp/article/2026/05/20/55309.html
- ScanNetSecurity「東北大学に不正アクセス、大学病院のNASに保存されていた個人情報が漏えいした可能性」 https://scan.netsecurity.ne.jp/article/2026/05/20/55308.html
COMMENTS 0
No comments yet — be the first to leave one.