東京都立多摩総合医療センターにおいて、計188件の患者個人情報が流出した。
2025年10月20日、東京都立病院機構と都民宅に差出人不明の郵便が届き、「駅のトイレで病院の封筒に入ったUSBを拾得した」という主旨の文書とともに患者リストが送付された。
流出した情報は、機構宛てに送付された2007年、2015年、2016年に胃癌手術を受けた患者153件の患者ID、氏名、生年月日、性別、手術日等、都民宅に送付された2010年から2012年に消化器外科手術を受けた患者34件の患者ID、氏名、フリガナ、生年月日、性別、住所、電話番号等、および当該都民1件の住所と氏名である。
病院が管理するUSBメモリに亡失はなく、10月21日に府中警察署へ相談した。
電子カルテ等のアクセス状況は現在確認中である。
From: 
東京都立多摩総合医療センターにおける個人情報の流出について
【編集部解説】
今回の東京都立多摩総合医療センターの事例は、医療機関における情報セキュリティの脆弱性を浮き彫りにする出来事となりました。特筆すべきは、病院側が管理するUSBメモリには紛失が確認されていないという点です。これは、漏洩経路が完全に特定できていないことを意味しており、医療機関における情報管理の複雑な課題を示唆しています。
物理メディアによる情報流出は、デジタル時代においても依然として深刻なリスク要因です。USBメモリは小型で持ち運びやすい反面、紛失や盗難のリスクが高く、暗号化されていない場合は第三者による容易な閲覧が可能になります。医療情報には患者の氏名、生年月日、住所、手術履歴といった極めて機密性の高いデータが含まれており、これらが組み合わさることでなりすましや二次被害のリスクが大幅に高まる点が懸念されます。
医療機関における情報セキュリティ対策は、技術的な側面だけでなく、運用面での徹底が求められます。パスワードポリシーの策定、アクセス制御の実施、定期的な棚卸しといった基本的な管理体制が重要です。特にUSBメモリなどの物理メディアについては、持ち出し時の承認プロセスや暗号化の徹底が必要とされています。
本件で興味深いのは、善意の第三者からの通報によって事態が判明した点でしょう。差出人不明の郵便物が関係各所に届き、それに関する連絡によって発覚したことは、例外的なケースといえます。もし通報がなければ、流出の事実自体が長期間にわたって把握できなかった可能性があります。
医療機関に対するサイバーセキュリティの規制は強化されており、患者の個人情報を含む医療情報等の漏洩が発生した場合は、個人情報保護委員会への報告が義務付けられています。今後、同センターは府中警察署と連携しながら流出経路の全容解明を進めるとともに、電子カルテへのアクセス履歴の調査を継続する方針です。
この事案は、医療機関全体に対する警鐘となるでしょう。技術革新が進む一方で、物理的な情報管理の重要性は変わらず、むしろ複合的な対策が求められる時代になっています。
【用語解説】
電子カルテ
患者の診療記録をデジタル化して管理するシステムである。紙のカルテに代わり、検査結果、処方箋、診断情報などを一元管理できる。複数の医療従事者が同時にアクセスできるため診療の効率化が図れる一方、アクセス権限の管理やログの監視が重要となる。
地方独立行政法人
地方自治体が出資して設立する法人形態である。自治体の業務を効率的に運営するため、一定の独立性と柔軟性を持たせた組織として設置される。東京都立病院機構は2022年7月に設立され、都立病院14施設を運営している。
個人情報保護委員会
個人情報の適正な取り扱いを監督する国の機関である。医療機関を含む事業者が個人情報漏洩事案を起こした場合、一定規模以上の漏洩については同委員会への報告が義務付けられている。
【参考リンク】
東京都立病院機構(外部)
東京都が100%出資する地方独立行政法人。都内14の病院とがん検診センターを運営し、高度専門医療から地域医療まで幅広いサービスを提供している。
東京都立多摩総合医療センター(外部)
人口約400万人の多摩地域における総合診療基盤を持つ都立病院。病床数789床を有し、救急医療からがん医療、周産期医療まで幅広い機能を担う。
府中警察署(外部)
東京都府中市を管轄する警察署。本件では多摩総合医療センターから個人情報流出の相談を受け、流出経路の調査に協力している。
個人情報保護委員会(外部)
個人情報保護法に基づき設置された独立機関。個人情報の適正な取り扱いを監督し、漏洩事案が発生した際の報告受理や事業者への指導を行う。
【参考記事】
「個人情報入りUSBメモリを拾った」──医療機関に郵便が届く→情報漏えい発覚 しかし紛失の形跡なく(外部)
多摩総合医療センターで患者情報188件が漏洩した事案について、差出人不明の郵便による告発で判明した経緯を詳報している。
「患者188名分の個人情報、拾った」外部から複数の連絡で問題発覚│多摩総合医療センター(外部)
2025年10月20日に東京都立病院機構と都民から寄せられた2件の通報により事態が発覚した経緯を詳述している。
東京都立多摩総合医療センターで個人情報流出 「駅のトイレでUSB拾った」と郵便届く(外部)
差出人不明の郵便が届いた経緯と、病院側が府中警察署に相談して調査を進めている状況を報じている。
【編集部後記】
今回の事案は、物理的な情報管理の難しさを私たちに問いかけています。USBメモリの紛失はなかったにもかかわらず、どのような経路で情報が流出したのか。クラウドやゼロトラストといった最新技術が注目される中で、こうしたアナログな脅威は見過ごされがちです。
みなさんの職場や日常でも、機密情報を扱う際の管理手順は明確でしょうか。物理メディアの持ち出しルールや暗号化の徹底、アクセスログの監視といった基本的な対策が、実は最も重要なセーフティネットかもしれません。デジタルとアナログの境界で、私たちは何を見落としているのでしょうか。
