徳島大学病院で不正アクセス:最大約1万8,920件の個人情報が漏えいした可能性
徳島大学病院は、病院が管理するシステムに外部からの不正アクセスがあり、登録されている個人情報が漏えいした可能性があると公表しました。外部専門機関による調査を実施した結果、現時点で情報漏えいや不正使用の痕跡は確認されていないとしています(ただし、可能性を完全には否定できないため調査・公表)。
ポイント
・不正アクセス:2025年10月11日〜10月22日(10月29日判明)
・対象:検体検査(血液・尿等)/看護キャリア支援システム
・対象件数:患者16,945件+職員42名+看護職員1,933名=最大18,920(合算)
・現時点で漏えい・不正使用の痕跡は未確認(病院発表)
何が起きたのか
- 2025年10月11日〜10月22日:外部から不正アクセスがあったとされる期間
- 2025年10月29日:事案を把握(判明)
- 2025年12月22日:病院が公式に公表(FAQ更新:12月25日)
漏えい「可能性」がある情報と対象
今回の対象は大きく(1)検体検査(血液・尿等)関連と、(2)看護キャリア支援システムの2系統です。
(1)検体検査(血液・尿等)関連
対象
・2025年7月25日〜10月22日に検体検査(採血・検尿)を受けた方:16,945件
・当該期間中に業務で該当システムを利用した職員:42名(退職者含む)
漏えいの可能性がある項目(患者)
患者ID/氏名(漢字・カナ)/性別/生年月日/検査に関するオーダー情報(検体名、依頼コメント等)
※検査結果(検査値)は含まれないとされています。
漏えいの可能性がある項目(職員)
職員ID/氏名
(2)看護キャリア支援システム
対象
看護キャリア支援システムに登録されている職員:1,933名(退職者含む)
漏えいの可能性がある項目
ユーザーID/パスワード/氏名/職員番号/部署/職種/役職/メールアドレス等のユーザー情報に加え、研修履歴・教材・ラダー情報等。
※FAQではパスワードも含まれる(一部システム)とされ、必要に応じて再設定を求めています。
病院の対応
- 影響が懸念されるサーバの遮断
- パスワード変更
- ネットワーク再構成
- 再発防止:セキュリティ監視体制の強化/多要素認証(MFA)の導入を推進
- 一部システムは院内ネットワークのみからアクセスできる運用へ移行予定
利用者・関係者が注意したいこと
- 対象者の特定は完了しており、病院から郵送・メールで順次通知が行われています。
- 現時点で二次被害は確認されていないとされますが、不審な連絡や請求があれば病院窓口へ連絡するよう呼びかけています。
- FAQ上、今回の事案にはクレジットカード情報は含まれないとされています。
なぜ公表まで時間がかかったのか
病院は、(1)影響範囲の正確な特定(ログ・通信履歴の精査)と、(2)公表と同時に個別通知するための通知体制整備に時間を要したため、と説明しています。
