徳島大学病院は、2025年12月22日、同院の管理する複数のシステムが外部から不正アクセスを受け、個人情報が漏えいした可能性があることを公表しました。
本記事では、病院が発表した公式情報に基づき、不正アクセスの発生から判明までの経緯、漏えいの可能性がある情報の内容、対象件数、そして病院が講じた対応策について整理して解説します。
出典:徳島大学病院
目次
徳島大学病院が不正アクセスによる個人情報漏えいの可能性を発表
2025年12月22日、徳島大学病院は、外部からの不正アクセスによって同院が管理する複数のシステムから個人情報が漏えいした可能性があると公表しました。
この事案は、2025年10月11日から10月22日の期間に不正アクセスが発生し、10月29日に判明したものです。現時点で情報の漏えいや不正使用の痕跡は確認されていないものの、関係者への通知や再発防止策が進められています。
2025年10月に徳島大学病院は不正アクセスを受ける
以下は、発生から公表までの主な流れです。
- 2025年10月11日(土)〜10月22日(水)
病院が管理するシステムに対して外部からの不正アクセスが発生。 - 2025年10月29日(水)
病院内で情報漏洩の事実を確認し、対象となる患者に対して謝罪と事情説明を実施。 - 2025年12月4日(木)〜12月22日(月)
調査を実施し、詳細を確認。対象者への通知とあわせて、2025年12月22日に公式ウェブサイトで事案を公表。
外部からの不正アクセスにより複数のシステムが影響を受ける
今回の情報漏えいの可能性は、外部からの不正アクセスにより発生したものです。病院が管理する以下のシステムが影響を受けました。
- 検体検査システム(血液・尿等)
- 看護キャリア支援システム
調査の結果、いずれもデータが閲覧された可能性はあるものの、検査結果(検査値)そのものは含まれていません。また、不正使用の痕跡も現時点では確認されていないとされています。
漏えいのおそれがある情報と対象件数
今回の不正アクセスでは、徳島大学病院が管理する複数のシステムに保存されていた情報が、外部から閲覧された可能性があるとされています。以下は、公式発表に基づき、実際に漏えいの可能性があるとされる情報の項目と、その対象人数を整理したものです。
血液・尿等の検体検査システムと漏えいの可能性がある情報
本システムでは、患者の検体検査に関連する情報や、検査業務に関与した職員の情報が管理されており、以下の情報が漏えいの対象となった可能性があります。
- 検査を受けた患者:16,945名
(2025年7月25日~10月22日に検査を実施) - 検査業務を担当した職員(退職者を含む):42名
- 患者ID
- 氏名(漢字・カナ)
- 性別、生年月日
- 検査オーダー情報(検体名、依頼コメントなど)
- 職員ID
- 氏名
看護キャリア支援システムで漏えいの可能性がある情報
こちらのシステムには、職員のキャリア開発や研修履歴に関する詳細な情報が記録されており、以下の項目が漏えいした可能性があります。
- 1,933名(退職者を含む)
- ユーザーID、パスワード
- 氏名、職員番号
- 部署、職種、役職、メールアドレス など
- 研修履歴
- 教材データ
- ラダー情報(※キャリア段階に関する記録)
徳島大学病院の対応
徳島大学病院は、不正アクセスが確認された後、以下の対応を実施しています。
- 対象のサーバを遮断
- パスワードの変更およびネットワーク再構成
- セキュリティ監視体制の強化
- 多要素認証の導入
- 一部システムの閉鎖的運用(院内ネットワーク限定アクセス)への切替予定
- 対象者への個別通知(メール・郵送)
また、現時点で二次被害は確認されていませんが、不審な連絡や請求があった場合は病院への連絡を呼びかけています。
出典:徳島大学病院
個人情報漏えいによる企業へのリスク
今回の徳島大学病院のように、外部からの不正アクセスによって個人情報が閲覧された可能性があるケースは、医療機関にとって重大なリスクとなります。
たとえ現時点で情報の漏えいや不正利用が確認されていなくても、「いつ・どこで・誰に」悪用されるか分からない状況は続きます。さらに、患者や職員の個人情報を扱う医療機関では、信頼の低下や説明責任の発生など、社会的評価への影響も避けられません。
このような事案では、原因の究明だけでなく、早期の発見と迅速な初動対応が重要です。異常の兆候を見逃さず、影響範囲を正確に把握できる体制が求められます。
そのため、情報漏えいの可能性が判明した場合には、外部専門機関による技術的調査やログ分析を含めた、客観的かつ慎重な対応が不可欠です。
個人情報漏洩した場合の報告義務
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
情報漏えいが発生した際に、企業は個人情報保護委員会へ2回報告する必要があります。それぞれ報告内容と報告期限が定められているため、注意しましょう。
- 漏えい等の事実が発覚したら、3〜5日以内に個人情報保護委員会へ通報
- 発覚から30日以内に被害を調査して個人情報保護委員会へ報告
データ漏えいが発生した場合は、外部の調査専門業者に調査を依頼することが重要です。
特にフォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術を保有しています。この技術により漏えいの原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。
また、調査報告書も作成してもらえるため、個人情報保護委員会へそのまま報告することも可能です。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが発生した場合、内容によっては特定の機関への報告義務が生じることがあります。自社のみで調査を行った場合、報告書の内容が認められないケースもあり、第三者機関による調査が一般的です。
私たちデジタルデータフォレンジック(DDF)は、官公庁、上場企業、捜査機関など、多様な組織のインシデント対応を行ってきた実績があります。
相談や見積もりは無料で、24時間365日体制でご依頼を受け付けています。早期対応が被害拡大防止の鍵となりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
まとめ
今回の事案は、医療機関の基幹システムが不正アクセスを受け、大量の個人情報が外部に閲覧された可能性があるという深刻なケースです。
徳島大学病院は、外部機関の調査と併行して、対象者への通知や情報管理体制の見直しを進めています。今後は、より高度なセキュリティ対策と、情報の適切な取り扱いが求められます。
関連記事
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
