米国のがん治療機関 The Oncology Institute(TOI) が、データ侵害(data breach)を公表しました。
しかも今回のポイントは、「TOI自身が直接やられた」というより、第三者のソフトウェアベンダー経由で患者情報に影響が出たことです。
これ、地味に見えてかなり重要です。
というのも、最近のサイバー攻撃は「自社を守れば終わり」ではなく、外部委託先や取引先を踏み台にして被害が広がるケースが本当に多いからです。医療機関は特に、診療データ、保険情報、連絡先など、守るべき情報が山ほどあります。そこが狙われると影響は大きいです。
SecurityWeekによると、TOIは2025年11月にSECへ提出した文書で、第三者のソフトウェアサービス提供会社でサイバーインシデントが起きたと説明していました。
ただ、その時点ではまだ調査中で、患者情報が実際に侵害されたかどうかは分からないという状況でした。
ところが今回、新しいSEC提出文書でTOIは次のように述べています。
2026年5月20日、Kroll(第三者管理を担当する会社) から、ベンダーの一部システムに不正アクセスがあり、患者データに影響するシステムも含まれていたと通知を受けた、というのです。
ここでいう「不正アクセス」は、かんたんに言えば許可されていない人がシステムに入り込んだという意味です。
「侵入された」より少しやわらかい表現ですが、実際にはかなり深刻です。
TOIは、患者に関する情報が影響を受けたとしています。
ただし、記事本文では、どの範囲の個人情報が対象だったのか、たとえば氏名・住所・診療情報・保険情報のどこまでだったのかは、はっきりしていません。
また、TOIは、この事件が他の医療サービス提供者にも影響している可能性があるとも述べています。
さらに、ベンダー側は患者ポータルを立ち上げ、情報提供や問い合わせ対応を行う予定だとしています。
患者ポータルというのは、ざっくり言えば影響を受けた人向けの専用案内ページです。
「何が起きたのか」「自分が対象かどうか」「今後どうすればいいか」を確認するための窓口ですね。
TOIは、第三者ソフトウェアベンダーの名前を明かしていません。
ただ、SecurityWeekは、時系列や影響範囲から考えて、Cognizant傘下の医療テクノロジー企業 TriZetto Provider Solutions の可能性があると見ています。
TriZettoは今年、複数の顧客と約340万人に影響するデータ侵害を報告しており、今回の件とのつながりを疑うのは自然です。
KrollがTriZettoの開示対応を担っている点も、そう見られる理由のひとつです。
とはいえ、現時点で犯人や攻撃主体は特定されていないとされています。
また、既知の ransomware グループ(身代金目的の攻撃集団) がTriZettoやTOIへの攻撃を名乗り出た事実もないようです。
個人的に、このニュースでいちばん大事なのは、医療業界では「自分の会社のセキュリティ」だけでは守り切れないという現実がまたしても見えたことです。
病院やクリニックは、自前のITだけで完結しているわけではありません。
予約システム、請求処理、電子カルテ連携、分析ツール、外部委託の運用……と、外部サービスにかなり依存しています。
その結果、攻撃者から見ると「本丸を直接攻める」より、弱い取引先を狙ったほうが入りやすいことがあるわけです。正直、かなりいやらしいやり方ですが、現実には効果的なんですよね。
しかも医療データは、一度漏れると終わりです。
クレジットカードの番号なら再発行できますが、患者情報や診療情報は簡単に変えられない。ここが本当に重い。
だからこそ、医療機関にとっては「漏れました」で済まない話になりやすいです。
SecurityWeekはTOIに追加情報を求めており、返答があれば更新するとしています。
今後注目したいのは、次の3点です。
このあたりが明らかになると、今回の事件の深刻さがよりはっきりします。
現時点でも、医療機関とその委託先がどれだけ複雑につながっているか、そしてそのネットワークのどこか1か所が崩れるだけで患者にまで影響が及ぶことがよく分かる事例だと思います。
医療業界のサイバーセキュリティは、もはや「IT部門の話」ではありません。
患者の信頼そのものに直結する経営課題だと、あらためて感じさせるニュースでした。
