【サイバー攻撃】九州大学病院の患者43人情報が流出可能性　研究室端末がランサムウェア感染、手術動画も保存

九州大学は6月10日、九州大学病院キャンパス内の研究室が管理する端末がサイバー攻撃を受け、ランサムウェアに感染したと発表した。端末には、九州大学病院の患者43人分の氏名と、手術を撮影した動画データが保存されており、外部に流出した可能性があるという。

※九州大学公式サイトに掲載された「本学研究室の端末への不正アクセスについてのご報告とお詫び」の画面

大学によると、感染が確認されたのは5月25日。職員が端末の起動時にランサムウェアによる脅迫文を確認し、端末をただちにネットワークから遮断した。感染した端末は研究室管理のもので、診療用ネットワークとは分離されていたため、電子カルテシステムや通常診療への影響は確認されていない。

現時点で、患者情報や手術動画が外部に公開されたり、悪用されたりした事実は確認されていない。大学は警察と連携し、感染経路や影響範囲を調査している。また、対象となる患者には個別に連絡し、謝罪を行っている。

今回の事案で重いのは、流出可能性のある情報が単なる氏名だけでなく、手術動画を含む点だ。手術映像は教育・研究目的で活用される一方、患者の身体的特徴や患部、場合によっては本人特定につながる情報を含む可能性がある。匿名化やアクセス制限、暗号化、保存期間の管理が不十分であれば、漏えい時の影響は大きい。

大学病院では診療、教育、研究が密接に結びついている。診療用システムが守られていても、研究室側の端末や外部記録媒体、個別管理の動画データが弱点になれば、患者情報は別経路から漏れる。今回の感染は、医療研究データ管理の脆弱性を浮き彫りにした。

医療機関を狙うランサムウェア攻撃は、診療停止だけでなく、機微情報の窃取や公開をちらつかせる「二重脅迫」に発展するケースもある。患者の氏名と手術動画という情報の性質を考えれば、大学側には被害範囲の特定、保存ルールの見直し、研究部門を含めた全学的な再発防止策が求められる。

今後の焦点は、攻撃者の特定、身代金要求の有無、手術動画の匿名化・暗号化状況、研究室端末の管理権限、患者への二次被害防止策だ。九州大学には、調査結果を踏まえた透明性ある説明と、医療研究データを守る具体的な対策が問われている。

合わせて読みたい
医療機関を狙うランサムウェア攻撃　電子カルテだけでは守れない研究データの盲点

編集部まとめ

九州大学病院関連の研究室端末がランサムウェアに感染し、患者43人の氏名と手術動画が流出した可能性がある。診療用ネットワークや電子カルテへの影響は確認されていないが、研究目的で保存された医療データが攻撃対象となった点は重大だ。

手術動画は、通常の個人情報よりも機微性が高い。患者本人の身体的特徴や治療内容が含まれる可能性があり、匿名化や暗号化、アクセス管理の徹底が不可欠となる。

今回の事案は、医療機関のサイバー対策が診療部門だけでは不十分であることを示している。大学病院には、研究室単位の端末管理、動画データの保存ルール、外部攻撃を前提とした監査体制の強化が求められる。

Q1. 九州大学病院のサイバー攻撃で何が起きたのか？

A. 九州大学病院キャンパス内の研究室端末がランサムウェアに感染し、患者43人の氏名と手術動画が外部に流出した可能性があります。

Q2. 電子カルテや通常診療に影響はあったのか？

A. 感染した端末は診療用ネットワークとは分離されていたため、電子カルテシステムや通常診療への影響は確認されていません。

Q3. 流出した可能性がある情報は何ですか？

A. 九州大学病院の患者43人分の氏名と、手術を撮影した動画データです。現時点で外部公開や悪用は確認されていないとされています。

Q4. なぜ手術動画の流出可能性が問題なのか？

A. 手術動画は患者の身体的特徴や治療内容を含む可能性があり、通常の氏名情報以上に機微性が高い情報です。匿名化や暗号化が不十分な場合、プライバシー侵害の影響が大きくなります。

Q5. 今後の焦点は何ですか？

A. 感染経路、攻撃者の特定、身代金要求の有無、手術動画の匿名化・暗号化状況、研究室端末の管理体制、患者への二次被害防止策が焦点になります。