340万人の医療データ流出、1年間発見されず：ヘルステック巨人の盲点

TriZettoのサイバー攻撃で340万人の医療データが流出。1年間検出されなかった背景と日本の医療DXへの教訓を探る。

医師が患者の保険適用を確認するたった数秒の作業。その裏側で、340万人の個人情報と医療データが11か月間もハッカーの手に渡っていた。

見過ごされた巨大な侵害

TriZettoは、全米875,000の医療提供者にサービスを提供し、約2億人の患者データを扱うヘルステック大手だ。同社は2025年10月2日にサイバー攻撃を発見したが、調査の結果、ハッカーは2024年11月から既にシステムに侵入していたことが判明した。

流出した情報は患者の氏名、生年月日、住所、社会保障番号といった個人情報に加え、医療提供者名、人口統計データ、健康・保険詳細まで多岐にわたる。Cognizant傘下の同社は「脅威を排除した」と発表したが、なぜ1年間も検出できなかったかについては明言を避けている。

医療データは他の個人情報とは性質が異なる。クレジットカード番号は変更できるが、遺伝子情報や病歴は変えられない。一度流出すれば、生涯にわたって悪用される可能性がある。

OCHINなど複数の医療機関が患者データの侵害を確認している。特に地方や地域密着型の医療提供者約300施設に影響が及んでいる点は深刻だ。これらの施設は大手病院と比べてセキュリティ投資が限られている場合が多い。

日本では現在、マイナンバーカードと健康保険証の一体化や電子カルテの標準化が進んでいる。厚生労働省は2030年までに全国の医療機関で電子カルテの標準化を目指している。

しかし今回の事件は、医療データのデジタル化が進むほど、サイバー攻撃のリスクも高まることを示している。日本の医療機関の多くは中小規模で、専門的なセキュリティ人材の確保が課題となっている。

Change Healthcareの事例では、192万件の患者ファイルが流出し、全米で医療サービスの停止が相次いだ。日本でも同様の事態が発生すれば、高齢化社会において致命的な影響を与える可能性がある。

医療のデジタル化は患者の利便性向上と医療の質の向上に不可欠だ。一方で、今回のように11か月間も侵害が検出されない事態は、システムへの信頼を根本から揺るがす。

日本の医療機関は、米国の事例から学び、単なるデジタル化ではなく「セキュリティ・バイ・デザイン」の考え方を取り入れる必要がある。つまり、システム設計の段階からセキュリティを組み込むことだ。