【個人情報流出】破砕依頼したはずのHDDがネットオークションに…患者や職員など最大51万人分被害かー依頼受けた廃棄物処理業者「作業スペースの区分け不十分」回収過程で北海道庁のHDD流出も発覚〈北海道〉
北海道医療センターなどを運営する独立行政法人国立病院機構は6月8日、北海道医療センター(札幌市西区)と北海道がんセンター(札幌市白石区)の患者や職員などの個人情報が入ったハードディスクが外部に流出していたことを発表しました。
個人情報が流出した被害人数は判明していませんが、最大で51万人分になる可能性があります。
国立病院機構によりますと、2025年6月、ネットオークションでハードディスクを落札した一般の2人から「北海道医療センターのものと思われるデータが保存されている」と連絡がありました。
国立病院機構が落札者からハードディスクを買い取るなどして回収し確認したところ、北海道医療センターの患者や職員などの個人情報が入っていました。
この個人情報には氏名・住所などの他、診療情報や看護記録も含まれていました。
ただ、すべての診療情報や看護記録が個人の氏名などと、ひも付いているわけではありません。
国立病院機構は2024年3月、病院の電子カルテ更新で、患者や職員などの個人情報が入ったハードディスク約750台の破砕と廃棄処理を北海道石狩市の廃棄物処理業者に依頼しました。
ところが破砕・廃棄処理されたはずのハードディスクがネットオークションに出品されていました。
廃棄物処理業者は国立病院機構に「破砕前後のハードディスクが同じ形の容器で管理されていた。作業スペースの区分けが不十分だった」などと説明しているということです。
国立病院機構は情報漏洩の拡大を防止するため、インターネット上に出ていた90個のハードディスクを回収しました。
このすべてを今回と同じ廃棄物処理業者が破砕・処理していたわけではありません。
ただ、この中の一部に、北海道医療センターの他、北海道がんセンターの患者や職員など個人情報も入っていました。
流出した個人情報は2センター合わせて最大51万人分(北海道医療センター23万人分、北海道がんセンター28万人分)に上る可能性があるということです。
北海道がんセンターも2024年11月に今回と同じ廃棄物処理業者にハードディスク約570台の破砕と廃棄処理を依頼していました。
いずれも個人情報が不正に利用された形跡はありません。
