2024年8月、気仙沼市立病院で4万8651人の患者情報に漏洩の恐れが判明した。流出元となったのは、病院の移転に伴って処分したPOSレジ端末だった。委託業者を通じてフリマに出品され、落札者からの連絡で漏洩が発覚した。個人情報を含む医療機器は破砕処分していたが、個人情報を含まないと勘違い。システムや端末の仕様を正しく把握する重要性が改めて浮き彫りとなった。
「POS(販売時点情報管理)レジ端末に個人情報が含まれているという認識が病院側も委託事業者側も足りなかった」
気仙沼市立病院は2024年8月7日、4万8651人の患者の個人情報が漏洩した恐れがあると発表した。流出元となったのは会計窓口で使っていたPOSレジ端末だった。新病院への移転後、委託業者を通じて2018年3月に処分したが、内部に個人情報が残っていた。予期せぬ形で情報漏洩が判明することになる。
2023年9月26日、フリマアプリに出品されていたPOSレジ端末を落札した購入者から警視庁荻窪警察署を介し、端末内に記録された個人情報を閲覧できる旨の連絡が入ったのだ。病院は端末をすぐさま回収したが、処分したPOSレジ端末は計3台。その後の調査で残り2台は分解されて部品として出回っていることが判明し、流通経路の解明と端末の完全な回収は困難と判断した。結果、2024年8月の発表に至った。
POSレジ端末内には患者IDとカナ氏名、入院・外来の別、診療科、請求金額の情報が記録されていた。対象期間は2014年6月30日から2017年10月27日まで。取扱件数は延べ10万5316件に及ぶ。気仙沼市病院事業局の千葉淳経営管理部長は冒頭のように反省の弁を述べたが、なぜこのような事態を招いてしまったのだろうか。
部品として転売され追跡困難に
気仙沼市立病院は2017年10月に新病院へ移転した。これに伴い、旧病院で使用していた医療機器や備品を委託処分する「医療機器等処分業務」を2018年3月に実施。東京都内に本社を置くオークション事業者(以下、委託業者A)と契約し、計81種類・369台の機器を引き渡した。この中にPOSレジ端末3台が含まれていた。
委託業者Aは委託処分を受けた医療機器のうち、ジャンク品として利用できないものを廃棄処分し、利用できるものは買い取った。買い取った医療機器の一部はさらに別の業者(以下、委託業者B)へ再委託した。POSレジ端末3台も委託業者Bへ渡った。委託業者Aから委託業者Bへ再委託する際、病院は再委託の通知を受けていた。
POSレジ端末3台のうち、1台(以下、1号機)は唯一動作した。委託業者Bは1号機をそのままフリマに出品した。この購入者によって情報漏洩が発覚した。残りの2台(以下、2号機・3号機)は動作しなかったため、部品取り用のジャンク品として別企業(以下、C社)へ転売。さらにC社は2台を分解して部品としてフリマへ出品したため、これらの購入者は多数存在するという。
委託業者AはC社に購入者の開示を要求したが、C社は拒否した。病院はこの段階で端末の完全な回収は困難と判断し、2024年8月に事故を公表。情報漏洩の恐れがある対象者に対しては郵送で通知した。郵送などにかかった合計460万円は委託業者Aが負担したという。
