気仙沼市立病院は8月7日、約10万件の情報が漏えいした可能性があると発表した。2018年の病院移転時に、POSレジ3台の処分を委託した事業者が、データを消さず再流通させたことが原因という。
漏えいした可能性のある情報は、14年6月30日から17年10月27日にかけて、POSレジに記録された患者4万8615人の氏名(片仮名)や請求金額など計10万5316件。住所や電話番号などは含まない。
POSレジのうち1台は第三者がフリマアプリで購入。購入者が情報を閲覧できることに気付き、23年9月26日に市に連絡したことで事態が発覚した。3台のPOSレジは病院のシステムに接続した上で、ID・パスワードを入力しなければデータを確認できないが、回収した端末は直近11営業日の情報のみ認証なしで閲覧できる仕様だった。購入者は実際に一部のデータを閲覧したが、記録はしておらず、悪用もしていないことを確認したという。
残る2台は未回収。委託事業者からの報告によれば、ジャンク品として販売されているという。修理すれば利用できる可能性はあるものの「システムと接続し、当院が管理するログイン用のID及びパスワードがない限り、通常は閲覧不能で、事実上、個人データの漏えいはないものと想定される」(気仙沼市立病院)としている。
個人情報保護委員会には報告済み。今後は情報機器の処分を外部に委託する際には実地で廃棄を確認する他、職員を対象とした研修会を定期的に実施し、再発防止を目指す。