「破砕済み」のはずが51万人分流出――国立病院機構の情報漏洩事案が示す、薬局データ廃棄の死角

「委託したから終わり」では済まされない時代
2025年6月、独立行政法人国立病院機構は衝撃的な発表を行った。北海道医療センター（札幌市西区）と北海道がんセンター（札幌市白石区）の患者・職員情報が入ったハードディスクが、ネットオークションに出品されていたというのだ。
漏洩した可能性のある個人情報は最大51万人分。氏名・住所にとどまらず、診療情報や看護記録まで含まれていた。
発端は2024年3月、電子カルテ更新に伴い約750台のHDDの破砕・廃棄を北海道石狩市の廃棄物処理業者に委託したことだ。ところが「破砕済み」として処理されるべきディスクがオークションサイトに流れた。廃棄業者の説明によれば、「破砕前後のHDDが同じ形の容器で管理されており、作業スペースの区分けが不十分だった」という。
当初は一般市民2名がオークションで落札し、データを発見して通報したことで発覚した。国立病院機構はインターネット上に出回っていた90個のHDDを回収し、被害拡大を防いでいるが、全容解明はまだ続いている。

これは「大病院の話」ではない
この事案を「巨大組織ゆえの管理の甘さ」と片付けてはならない。薬局経営者と薬剤師には、構造的に同一のリスクが存在する。
調剤薬局が日常的に扱うレセコン（調剤薬局システム）や電子薬歴には、患者の氏名・住所・生年月日・保険情報・処方歴・服薬指導記録が蓄積されている。仮にクラウド型であったとしてもキャッシュや一次保存したデータなどがローカルストレージに残っていることもある。5年・10年単位で使用してきたレセコンを更新する際、旧機器の内部HDDやSSDには「薬局版電子カルテ」ともいうべき大量の個人情報が残存している。
多くの薬局では、PCの廃棄処理をシステムベンダーや外部業者に一任しているのが実態だろう。しかし今回の事案は、委託という行為が「責任の消滅」を意味しないことを明確に示した。個人情報保護法および薬担規則上、情報管理の最終責任は薬局開設者にある。委託先の不手際であっても、患者への説明責任と法的責任は薬局が負う。

物理破壊と「証明」がセットでなければ意味がない
データ消去の方法には大別してソフトウェア的な上書き消去と物理的な破壊（穿孔・破砕・溶解）がある。機密性の高い医療情報においては、原則として物理破壊が推奨される。だが今回の教訓は、「物理破壊を委託した」だけでは不十分という点だ。
重要なのは以下の3点の確認である。第1に、作業の立会いまたは破壊証明書の取得。第2に、破壊前後の媒体を区別できる管理体制の確認。第3に、シリアル番号レベルでの廃棄記録の照合。
国立病院機構のケースでは、「破砕前後が同じ容器で管理されていた」という杜撰な運用が、大規模漏洩の直接原因となった。薬局が業者を選ぶ際にも、こうした作業フローを書面で確認することが必須となる。

薬局が今日から取るべき行動
① 廃棄予定・廃棄済み機器の棚卸しを実施する
倉庫に眠る旧レセコン、旧調剤監査端末、旧タブレット端末を洗い出す。内部ストレージに患者情報が残存している可能性がある。
② 現在の廃棄委託先の作業手順を書面で確認する
「破壊証明書を発行しているか」「廃棄前後の媒体を分離管理しているか」「シリアル番号単位で記録を残しているか」を確認し、回答を文書化する。
③ レセコン更新契約時にデータ廃棄条項を明文化する
次回の更新時から、旧機器の廃棄方法・証明書の提出・責任の所在を契約書に明記することを交渉する。
④ BCPおよびセキュリティ規程にHDD廃棄手順を追記する
薬局のBCP（事業継続計画）やプライバシーポリシーに、記録媒体の廃棄手順と確認責任者を明記する。厚生労働省の医療情報安全管理ガイドラインもこの観点での規程整備を求めている。
⑤ 患者への開示姿勢を平時から準備する
万が一の漏洩発生時に迅速な患者通知ができるよう、連絡フローと文書テンプレートをあらかじめ準備しておく。事後対応の速度と誠実さが、薬局への信頼を左右する。