近日,一起發生在北海道的嚴重個人資料外洩事件引發社會高度關注。獨立行政法人國立病院機構於2026年6月8日公開承認,旗下北海道醫療中心與北海道癌症中心委託處理的硬碟(HDD),在未經適當破砕處理的情況下流入網路拍賣市場,導致大量患者及職員的個人資料面臨外洩風險。
醫院委託廢棄的硬碟遭到轉賣
據調查,北海道醫療中心與北海道癌症中心分別於2024年3月及11月,在進行電子病歷系統更新時,委託石狩市的廢棄物處理業者「Reprowork(リプロワーク)」進行舊端末硬碟的廢棄破砕作業,涉案硬碟數量高達上千台。
然而,2025年6月,有民眾在網路拍賣中標了包含硬碟在內的資訊記錄裝置,並發現其中存有疑似該醫院的資料,隨即向醫院通報,事件才因此曝光。醫院事後回收了部分硬碟,經確認,其中至少有33台硬碟存有電子病歷資料。
雖然目前確認資訊內容的硬碟僅有33台,但受影響的潛在範圍卻相當驚人。國立病院機構指出,根據舊電子病歷系統中登錄的患者ID計算,受影響的「想定最大範圍」合計高達約51萬人。不過,院方強調此數值為最大可能性推估,並非指所有患者的資料皆已外洩。
根據已確認的部分,外洩內容包含姓名、患者編號、出生年月日、住址、電話、診療資訊、病名、檢驗結果及看護紀錄等。值得慶幸的是,目前未發現マイナンバー(個人編號)、銀行帳戶或信用卡等敏感財務資訊。
業者坦承流程疏失,院方已提刑事告發
涉案業者「Reprowork」在事發後坦承,作業人員在未確實驗證硬碟是否已破砕的情況下,便將其轉賣給其他回收業者,導致硬碟經轉手後流向外部。業者解釋,當時因作業空間劃分不清,導致處理過程出現疏漏,並強調絕非故意讓未破砕的硬碟流入市場。
針對此重大疏失,國立病院機構已於6月8日以違反《廢棄物處理法》為由,對該業者提出刑事告發。
此案發生後,北海道廳也意外發現,其自行委託處理的廢棄電腦硬碟中,竟含有至少697人份的個資,且該批硬碟也混入了國立病院機構回收的90台硬碟之中。調查顯示,這是由於道廳內部作業未落實資料刪除所致,與病院事件屬於不同原因,但也反映出行政機關在資料處理上的重大缺失。
官方回應與後續措施
厚生勞動省已於6月8日發出緊急事務聯絡,要求全國醫療機構務必徹底落實廢棄設備時的個資保護措施,包括要求院方人員在現場監看破砕過程、索取處理紀錄照片,並嚴格審核委託業者的流程。
國立病院機構目前已開始針對受影響患者進行個別通知,並設立諮詢窗口。院方表示,目前尚未確認到資料被惡意濫用的報告,未來將嚴格要求院內物理破砕作業,並加強對外部委託廠商的管理機制,防止類此事件再次發生。
- 延伸閱讀:你以為 HDD 沒人要了嗎?機械硬碟價格連五漲,這季漲幅竟然高達 10%
- 延伸閱讀:Toshiba 推出 M12 系列近線硬碟,SMR 機種容量最高達 34TB 並已開始進行樣品出貨
- 延伸閱讀:專家抨擊科技公司每年銷毀數百萬可重用儲存裝置的做法太浪費
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!