自動車メーカー「マツダ」社の企業立病院「マツダ病院」で、患者情報が外部流出した可能性が判明。
画像診断業務を委託している外部事業者のクラウドサービスのファイル共有設定ミスによるもので、患者626名分の個人情報が第三者から閲覧可能な状態になっていたとみられている。
対象となったのは2021年2月から3月にかけて同院でCT(コンピュータ断層撮影)、MRI(磁気共鳴画像法)、RI(核医学検査)の撮影を受けた患者626名分が該当しており、患者ID、氏名、撮影日、撮影種別、部位、部位数が含まれていたという。
なお、病名や検査結果、画像データ、クレジットカード番号などは流出対象外とされている。
事案の経緯によると、外部事業者は2023年4月上旬に患者データをクラウドサービスに保存する際、ファイル共有設定を誤っていたという。
これにより約1年8か月間、アクセス権限のない第三者が閲覧可能な状態が続いた。
外部事業者は2024年11月下旬に設定不備の可能性に気づき、同年12月中旬に是正したが、マツダ病院への報告は2026年2月16日となった。
マツダ病院は対応として、対象患者に個別通知を実施。
外部事業者は共有設定を解除し、外部からのアクセスを制限した。
公表時点で二次被害の報告はないという。
再発防止策として、外部事業者は共有設定に関するルールを改定し、全社員への周知と定期教育を実施。
また、第三者閲覧可能設定時に通知が飛ぶ仕組みを導入したとのこと。
同院は委託先の管理状況を定期的に確認し、事故のおそれがある場合の即時報告を徹底する方針を示している。