医療データの「脇道」— Hims & Hersの情報漏洩が示す盲点

「医療記録は漏洩していない」——その一言で、あなたは安心できますか？

2025年2月4日から7日の間、遠隔医療企業 Hims & Hers のサードパーティ製カスタマーサポートシステムに不正アクセスが発生しました。盗まれたのは、顧客が同社サポートチームに送ったリクエストデータ——つまり「サポートチケット」の内容です。同社はカリフォルニア州司法長官室への届出でこの事実を認め、顧客の氏名・連絡先情報、そして「その他の個人データ」（詳細は黒塗り）が流出したと発表しました。

Hims & Hers は、体重管理薬（GLP-1受容体作動薬など）や性的健康に関する処方薬をオンラインで販売する企業です。つまり、同社のカスタマーサポートに問い合わせを送った人々は、自分の体重の悩みや性機能に関する相談内容が、知らない誰かの手に渡った可能性があります。

「医療記録は無事」という言葉の落とし穴

同社の広報担当者 Jake Martin 氏はTechCrunchに対し、今回の攻撃はソーシャルエンジニアリング——ハッカーが従業員を騙してシステムへのアクセス権を取得する手法——によるものだと説明しました。盗まれたデータは「主に顧客の氏名とメールアドレス」だと述べています。

しかし、ここに重要な視点があります。カスタマーサポートのチケットシステムとは、患者が「薬の副作用について相談した」「特定の処方について質問した」「支払いに問題があった」といった、医療記録とは別の形で健康情報が蓄積される場所です。公式の電子カルテには記録されていなくても、「なぜあの薬を使っているのか」を示す文脈が、サポート履歴には残っています。

被害を受けた顧客数は現時点で不明です。カリフォルニア州法では、州内の居住者 500人以上が影響を受けた場合、企業はデータ侵害を開示する義務があります。今回の届出は、その基準を満たしたことを意味します。

広告

広告掲載について

[email protected]

広告

なぜ「今」、サポートシステムが狙われるのか

この事件は、孤立した出来事ではありません。近年、金銭目的のハッカーたちは、企業の「正面玄関」である基幹システムではなく、セキュリティが手薄になりがちなサードパーティのサポートツールやチケットシステムを標的にするようになっています。

昨年、コミュニティプラットフォームの Discord でも同様の手口によるデータ侵害が発生し、年齢確認のために提出された運転免許証やパスポートなど、約 7万人分の公的身分証明書が流出しました。攻撃者はこうして集めた情報を使い、企業に身代金を要求するケースが増えています。Hims & Hers はハッカーから金銭要求があったかどうかについて、回答を拒否しています。

サードパーティシステムが狙われる理由は明快です。大企業は自社の中核システムには多大なセキュリティ投資をしますが、外部ベンダーが提供するサポートツールの監査は後回しになりがちです。そして、そのツールには顧客との「生の対話」が蓄積されています。

日本の遠隔医療と個人情報保護の現在地

この事件は、日本にとっても他人事ではありません。日本では 2022年の診療報酬改定以降、オンライン診療の普及が加速しており、LINEヘルスケア、クリニクス、メドレーなどのプラットフォームが急成長しています。これらのサービスも、顧客サポートのために外部ツールを利用しているケースは少なくないでしょう。

日本の個人情報保護法（改正個人情報保護法）は、2022年の改正で漏洩時の本人通知と当局報告が義務化されましたが、「サードパーティ経由の漏洩」に対する企業責任の範囲は、まだ解釈が定まりきっていない部分もあります。高齢化社会において遠隔医療への依存度が高まる日本では、医療データの「正面」だけでなく「脇道」からの漏洩リスクへの対応が、今後ますます重要になります。

医療機関や遠隔医療プラットフォームを利用する患者の立場からは、「どのサードパーティツールが使われているか」を確認する手段がほとんどないのが現実です。これは、個人の注意だけでは解決できない構造的な問題です。