ホーム / Critical Brief / No. 065

「破砕した」という前提のまま、患者 18 万人分の HDD が中古市場に流れた(北海道の国立病院)

機微媒体の廃棄が、独立検証可能な破壊証跡として固定されない構造(NHO 北海道医療センター・北海道がんセンター)

Pillar 04 · 規制属性証明 属性証明バイパス データ来歴
事案日
2026-06-08
公開日
2026-06-17
発行
Lemma Critical Team
関連 Pack
Pack AIncident Response

TL;DR

不要になったハードディスクを廃棄業者に渡す——「破砕してくれるはずだ」という前提で、多くの組織が日常的に行っている。だが「破砕したか」を誰も独立に確かめないと、データの入ったままのディスクが中古市場に流れうる。2026 年 6 月、国立病院機構(NHO)の北海道医療センター・北海道がんセンターは、電子カルテ等を含む HDD が外部に流通していたと公表した。両病院は 2024 年に廃棄業者へ HDD の破壊・廃棄を委託していたが、同業者が破砕を確認しないままディスクを手放したとみられる(業者は「破砕前後の HDD を同じ形の容器で管理し、作業スペースの区分けが不十分だった」と説明)。発覚の端緒は、2025 年 6 月にネットオークションで HDD を落札した人物が、病院のデータが入っていると通報したことだった。回収された 33 台(医療センター 31・がんセンター 2)には、氏名・住所・病状を含む患者・職員 約 18 万 6,900 人分(影響は最大 51 万人に及ぶ可能性)の個人情報が含まれていた。NHO は廃棄物処理法違反容疑で同業者を道警に刑事告発。現時点で不正利用は確認されていない。本事案を Pillar 04(規制属性証明)の観点から、機微媒体の「破壊(廃棄の完了)」という属性が、独立検証可能な証跡として固定されない構造として分析する。核心は、「破砕した」という主張を委託元が独立に検証する手段が無く、主張する委託先(claimant)を信頼するしかなかったことにある——紙の廃棄証明書はあっても、破砕の事実そのものを裏づける証跡は無かった。本 Brief は個々の主体の非難を目的とせず、破壊の独立検証不在という構造を扱う。Brief 035(検査の「記録の存在」が「実施の証明」と取り違えられた)の兄弟であり、013・006・021 に連なる。

事案概要

  • 対象: 国立病院機構(NHO)北海道医療センター・北海道がんセンター(札幌)。電子カルテ等を保存していた HDD の廃棄を巡る事案
  • 委託: NHO は 2024 年 3 月、両病院の電子カルテ更新に伴い、個人情報を含む HDD 約 750 台の破壊・廃棄を、石狩市の廃棄物処理業者「リプロワーク」へ委託した
  • 何が起きたか: 同業者が、ディスクを破砕したことを確認しないまま手放したとみられる。業者は NHO に対し「破砕前後の HDD が同じ形の容器で管理されていた。作業スペースの区分けが不十分だった」と説明している。結果として、データの入った HDD が外部(ネットオークション等)に流通した
  • 発覚の端緒: 2025 年 6 月、ネットオークションで HDD を落札した一般の人物が、北海道医療センターのデータが含まれていることに気づき、通報した
  • 規模: 回収された HDD は 33 台(北海道医療センター 31 台、北海道がんセンター 2 台)。氏名・住所・病状などを含む個人情報は、2024 年までに収集された患者・職員の少なくとも約 18 万 6,900 人分。影響は最大で 51 万人に及ぶ可能性。回収の過程で、北海道庁の HDD 流出も別途判明している
  • 対応: NHO は 2026 年 6 月 8 日、廃棄物処理法違反の容疑で同業者を北海道警察に刑事告発。現時点で情報の不正利用は確認されていない
  • 核心: 廃棄を委託し、契約上は破壊されるはずだったことは、「実際に破砕されたか」が独立に検証されたことを意味しない。破壊という属性は、委託先の自己申告と前提に依存し、外部から独立に確認されないまま、データの入ったディスクが流通面に転化した

タイムライン

  • 2024-03: NHO が両病院の電子カルテ更新に伴い、個人情報を含む HDD 約 750 台の破壊・廃棄を、石狩市の廃棄物処理業者「リプロワーク」へ委託。個人情報は 2024 年までに収集されたもの
  • 2025-06: ネットオークションで HDD を落札した一般の人物が、北海道医療センターのものと思われるデータが入っていると通報。発覚の端緒に
  • 2026-06-08: NHO が事案を公表。回収 33 台・約 18 万 6,900 人分(最大 51 万人)の個人情報を確認。廃棄物処理法違反容疑で同業者を道警に刑事告発。不正利用は未確認

注: 影響人数(約 18 万 6,900/最大 51 万)・HDD 台数(33)・委託先(リプロワーク)・経緯・刑事告発は NHO の公表および報道(HTB・北海道新聞・UHB・読売・共同、英語の DataBreaches.Net/The Star/Japan Today/Xinhua)に基づく。本 Brief は過失割合の断定を目的とせず、破壊の独立検証不在という構造を扱う。

事象連鎖:「破壊した」前提が、検証されないまま流通に転化する

本事象は、機微媒体の破壊という属性が、廃棄の時点で独立検証可能な証跡として固定されないことに起因する。経路は以下の通り。

  1. 廃棄の委託: 病院が HDD の破壊・廃棄を業者へ委託する。契約上は破壊されるべきものとして引き渡される
  2. 破壊の前提化: 「委託したから破壊された」という前提が置かれる。実際に破砕されたかは、委託先の作業と申告に依存し、委託元が独立に検証する仕組みはない
  3. 連鎖する受け渡し: 業者が、破砕を確認しないままディスクを手放す(破砕前後の媒体が同じ容器で混在し、区分けが不十分だったと説明される)。チェーンの各段で「破壊済み」の独立した証跡が引き継がれない
  4. 流通面への転化: データの入った HDD が中古市場(ネットオークション等)に流通する。媒体は破壊されておらず、保存された電子カルテ等が読み取り可能な状態で外部へ
  5. 事後の発覚: 落札者の通報で発覚し、回収・刑事告発・影響範囲の特定が進む。これは媒体が流通した後に作動する事後の系列である

構造的論点

本事象は Pillar 04(規制属性証明)の attribute-proof-bypass カテゴリに属する。中心的な失敗 primitive は、機微媒体の「破壊(廃棄の完了)」という属性が、廃棄の時点で独立検証可能な証跡として固定されておらず、委託先の作業と自己申告に依存する点にある。secondary に data-provenance(廃棄チェーンを通じた媒体・データの来歴)を併記する。委託契約や廃棄証明の存在は、「実際に破砕された」ことの独立した証明ではない。信頼が向けられているのは「破砕した」という主張そのものではなく、主張する委託先(claimant)であり、主張を独立に検証する手段が存在しない。紙の廃棄証明書は、破砕していなくても発行されうる以上、その代替にはならない(“trust in the claim, not the claimant” の不在)。

本事案は Brief 035(Boeing 787 で、検査が「完了」と記録されていたが実施されていなかった)と同型である。035 が「記録の存在 ≠ 実施の証明」、本事案が「廃棄委託・破壊の前提 ≠ 破砕の実施」という、同じ primitive の別断面にあたる。いずれも、ある事実(検査の実施/媒体の破壊)の記録・前提が、その事実の真正な独立検証と取り違えられている。Brief 013(規制が要求する生の個人情報の保管が、内部買収で漏洩面に転化した)とは、機微個人情報がそのライフサイクルのどこかで独立検証されないまま漏洩面に転化する点で連なる。Brief 006(認証情報の失効が独立検証されず、削除後も有効だった)とは、「ライフサイクルの終端(失効/破壊)が独立検証されない」という primitive で接続する。Brief 021(残高確認書という証書の存在が、資産の実在の独立検証と取り違えられた)とは、証書・前提と独立検証の乖離という点で同型である。

本事案が際立たせるのは、データのライフサイクルの終端という層だ。組織は収集・保管・アクセスの統制には注力する一方、「破壊された」ことの独立検証は、委託先への信頼と紙の証明に委ねられがちである。破壊が独立検証されないとき、保護されていたはずの機微情報は、ライフサイクルの最後で——誰も攻撃していなくても——流通面に転化する。医療情報という最も機微なデータで、この終端の検証不在が露呈した。

検出と証明の落差

落札者の通報、回収、刑事告発、影響範囲の特定は、被害把握と再発抑止に不可欠であり、本 Brief がその役割を否定するものではない。発覚後の対応と原因究明は、同種事案への重要な歯止めである。

一方で、検出は「いま委託した媒体が、実際に破壊されたか」を、廃棄の時点で独立に立証する材料にはならない。委託契約も廃棄証明も、破壊が行われたという前提を記録するが、破砕という事実そのものを独立に裏づけるものではない。本事案で破壊の不在が分かったのは、データの入ったディスクが市場に現れ、落札者が通報した後だった——しかもその通報から公表まで約 1 年を要している。欠けていたのは、「この媒体は確かに破壊された」ことを、廃棄の時点で独立検証可能な証跡に固定し、廃棄チェーンの各段へ引き継ぐ仕組みであり、これは事後の発覚・告発とは別系統である。媒体が流通した後では、破壊の不在も、どの媒体が・いつ・どこで流出したかの来歴も、遡って固定できない。

事前証明(pre-execution attestation)の発想は、機微媒体の廃棄を「委託先を信じる」から「破壊の事実を、廃棄の時点で独立検証可能な証跡にバインドする」へ反転させる。各媒体の破壊を、その時点・場所・対象に紐づく改ざん耐性のある証跡(proof-of-destruction)として固定し、廃棄チェーンの受け渡し(病院 → 廃棄業者 → リサイクル業者)の各段で検証可能にすれば、「破壊済み」の証跡を欠く媒体の流通は、引き渡しの前に検出できる。破壊の不在の検出(detection 的な「市場に現れたか」)と破壊の証明(「この媒体は確かに破壊されたと独立検証できるか」)は代替ではなく 補完 の関係にある(行為の時点で来歴を独立検証する考え方は 「Proof-as-Auth: 鍵を一度も送らずにサインインする」(Lemma、2026-05)、検出と事前証明の thesis は 「AI 時代のサイバー防衛に残された、最後の層」(Lemma、2026-05)を参照)。

対応経緯と業界動向

  • NHO / 両病院: 事案を公表し、影響範囲(回収 33 台・約 18 万 6,900 人分、最大 51 万人)を特定。廃棄物処理法違反容疑で同業者を道警に刑事告発。情報の不正利用は現時点で未確認
  • 「主張」と「主張者」の分離: 本質は、「破砕した」という主張を委託元が独立に検証する手段が無かったこと——破壊を実際に行ったか否かは、委託先(主張者)を信頼するしかなかった。求められるのは、主張者への信頼ではなく、主張そのものを検証できる証跡である
  • 紙の証明書の限界: データ廃棄証明書は実務に存在するが、本事案が示すのは「破砕していなくても証明書は発行されうる」ことである。紙の証明書は破砕の事実を独立に裏づけず、偽造・形骸化に耐えない。求められるのは、偽造不可能な暗号証明としての破壊証跡である
  • 「院内破砕」への揺り戻しは本筋ではない: 再発防止として破砕機の内製運用へ向かう動きは理解できるが、病院はコア業務(医療)に集中すべきで、破砕の運用を抱え込むのは本筋ではない。偽造不可能な破壊証明があれば、外部委託のまま破壊の確実性を担保できる
  • データライフサイクル全段の論点: 医療情報は機密度が高く、保存→利用→廃棄のライフサイクルが長い。本事案は「廃棄」段階だが、「保存中に不正アクセスがなかったこと」「転送時に改ざんされていないこと」も同じ構造であり、各段階の独立検証可能な来歴の需要は大きい
  • 予防の標準装備へ: 今回は落札者の通報で回収できたが、次に回収できる保証はない。事後対応ではなく、「破壊されたことの検証可能な証明」を予防的に標準装備する方向へ——規制の重心が「記録の提出」から「独立検証可能な証明」へ移る流れと整合する

機微媒体の破壊を、廃棄の時点で独立検証可能な証跡として固定する層の不在は、特定の病院・業者の問題ではなく、機微情報を保有しその廃棄を外部委託するすべての組織に共通する課題として残っている。

Lemma による分析

本事象で露呈した落差(機微媒体の破壊という属性が、廃棄の時点で独立検証されない)に対して、Lemma は、廃棄というライフサイクルの終端の事実を、行為の時点で独立検証可能な暗号証明として固定する設計を提示している。

  • 破壊証跡の来歴バインド(proof-of-destruction): 各媒体の破壊を、その時点・対象に docHash で来歴バインドし、「この媒体は確かに破壊された」ことを、偽造不可能な暗号証明として独立検証可能にする。委託契約や紙の証明書(破砕せずとも発行できる)ではなく、破壊の事実そのものに紐づく証跡を残す。これにより、外部委託を続けたまま——病院が破砕機を内製しなくても——破壊の確実性を担保できる
  • 受け渡しの連鎖検証(chain-of-custody): 廃棄チェーン(委託元 → 廃棄業者 → リサイクル業者)の各受け渡しで、破壊証跡の有無を検証可能にし、「破壊済み」の証跡を欠く媒体の流通を引き渡しの前に弾く
  • 属性の事前証明: 「この媒体は破壊済みである」という属性を、主張者への信頼ではなく独立検証可能な証跡(主張そのものの検証)として示し、廃棄完了を検証条件にバインドする
  • ライフサイクル全段への拡張: 同じ独立検証の設計は、廃棄だけでなく、保存中(不正アクセスがなかったこと)・転送時(改ざんがなかったこと)にも適用できる。機密度が高く保存期間の長い医療データほど、各段階の来歴証明の価値が大きい
  • 選択的開示: 保存データの中身を出さずに、「この媒体は破壊の検証条件を満たした」ことだけを最小開示し、独立検証とプライバシー保護を両立する

これにより、廃棄の時点で固定された証明が、「この機微媒体は確かに破壊されたか」を、事後の発覚に依存せず独立検証可能なトレイルとして機能させる。検出(事後の通報・回収・告発)は被害の是正に、事前証明(廃棄時点の破壊の独立検証)はデータライフサイクル終端の信頼確立に、それぞれ相補的に働く。設計と適用範囲は、Pillar 04 — 規制属性証明 および ユースケース一覧 を参照のこと。

Sources

Brief 配布について

Lemma Critical Brief は Lemma が発行する脅威インテリジェンス・ブリーフです。本資料は公開情報の構造化分析であり、特定の組織への監査・診断・推奨ではありません。意思決定の参考として用いる場合は、貴組織の Lemma Critical 担当に直接ご相談ください。

Discovery Call → ホワイトペーパー → ✉️ ニュースレター →

(c) 2026 FRAME00, INC. — Built for decisions that matter.

関連 Brief
属性証明バイパスの全 26 件を見る
No. 052 · 2026-06-12

年齢を証明するために渡した政府 ID 7 万枚が、第三者から流出した

規制属性(年齢)の証明と生 ID の保管が分離されていない構造(Discord / 5CA)

属性証明バイパス データ来歴認証・認可
Brief →
No. 050 · 2026-06-12

非同意の画像が、生成の時点で誰の同意も年齢も確かめられずに作られた

被写体の同意・年齢と生成物の来歴が、生成時点で独立検証されない構造(Grok)

属性証明バイパス データ来歴AI 判断の完全性
Brief →
No. 040 · 2026-06-09

保全の実態がない森林から、カーボンクレジットが発行・販売されていた

環境属性の裏づけデータが、発行時に独立検証されない構造(ブラジル Operation Greenwashing)

属性証明バイパス データ来歴
Brief →
No. 035 · 2026-06-08

検査は「完了」と記録されていたが、実施されていなかった

Boeing 787 で、記録の存在が実施の証明と取り違えられた

属性証明バイパス データ来歴認証・認可
Brief →
No. 034 · 2026-06-08

ライブ生体認証が「注入された映像」に突破された

KYC は本人の生体を確認したと信じたが、撮影の来歴は検証されなかった

属性証明バイパス AI 判断の完全性認証・認可
Brief →
No. 032 · 2026-06-08

正規の予約プラットフォーム内で、売上金の受領口座が書き換えられた

送金先変更が、資金移動の前に独立検証されなかった(Polaris Holdings / Booking.com)

属性証明バイパス データ来歴認証・認可
Brief →

Lemma Critical Monthly

実際に起きたリスク事案の構造分析(Critical Brief)を軸に、検出の先に必要な「証明」への視点を月 1 回お届け。

ニュースレターを購読
Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"「破砕した」という前提のまま、患者 18 万人分の HDD が中古市場に流れた(北海道の国立病院) — 機微媒体の廃棄が、独立検証可能な破壊証跡として固定されない構造(NHO 北海道医療センター・北海道がんセンター)".
Lemma Critical Brief No.065. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/065-hokkaido-hospital-hdd-disposal/