フランスで1580万件の医療記録が流出——Cegedim Santéのサードパーティ侵害
フランス保健省は2026年3月、医療ソフトウェア企業Cegedim Santéのシステムが侵害され、約1,580万件の患者の行政・医療記録が流出したと発表した。Cegedim Santéはフランス国内の約3,800の診療所で使用されている電子カルテ・医療管理ソフトウェアのサードパーティ提供者であり、今回の侵害は欧州史上最大級の医療データ漏洩事件の1つに数えられる。
この記事では、事件の全容、サードパーティリスクの構造的問題、欧州の過去の医療データ漏洩との比較、そして日本のマイナ保険証制度への教訓を詳しく解説する。
事件の全容 ─ 何が起きたのか
Cegedim Santéとは
Cegedim Santéは、フランスの大手ヘルスケアIT企業Cegedim Group傘下の医療ソフトウェア部門だ。同社は電子カルテ(EHR)、処方管理、患者スケジューリング、保険請求処理などの統合ソリューションを提供しており、フランスの開業医・クリニックを中心に約3,800の医療機関が利用している。
注目すべきは、Cegedim Santéが患者データの「管理者」ではなく「処理者」であるという点だ。つまり、各診療所が収集した患者データを、Cegedim Santéのクラウド基盤上で処理・保管しているという構造であり、これがまさにサードパーティリスクの典型例となった。
漏洩データの範囲
フランス保健省とCNIL(フランスデータ保護機関)の発表によると、漏洩が確認されたデータは以下の通りだ。
| データ項目 | 漏洩の有無 | リスクレベル |
|---|---|---|
| 氏名・生年月日 | 漏洩確認 | 高 |
| 社会保障番号(NIR) | 漏洩確認 | 極めて高 |
| 処方薬データ | 漏洩確認 | 極めて高 |
| 担当医師名 | 漏洩確認 | 中 |
| 診療履歴・来院記録 | 漏洩確認 | 高 |
| 保険情報 | 漏洩確認 | 高 |
| 銀行口座・クレジットカード | 漏洩なし | — |
特に深刻なのは、社会保障番号と処方薬データの組み合わせだ。社会保障番号は身元詐称に直結し、処方薬データは個人の健康状態を推測できるため、脅迫やフィッシング攻撃の材料として悪用されるリスクが極めて高い。
攻撃の経緯
以下の図は、今回の攻撃がどのような経路で行われたかを示しています。
この図が示す通り、攻撃者は個々の診療所ではなく、中央のソフトウェア提供者を標的にすることで、一度の侵入で膨大な数の患者記録にアクセスした。これはサプライチェーン攻撃の典型的なパターンであり、近年のサイバーセキュリティにおける最大の脅威の1つだ。
現時点で攻撃者の身元は特定されていない。仏当局は捜査を継続中であり、ランサムウェアグループの関与も排除していないとされる。
サードパーティリスクの構造的問題
なぜサードパーティが狙われるのか
現代の医療システムでは、電子カルテ、予約管理、保険請求、検査結果の共有など、多数のサードパーティベンダーがデータ処理に関与している。各ベンダーが独自のセキュリティ体制を持つため、最も脆弱なリンクが全体のセキュリティレベルを規定してしまう「チェーンの最弱リンク問題」が常に存在する。
攻撃者にとってサードパーティは魅力的な標的だ。その理由は明確で、1社を侵害するだけで、その顧客である数千の医療機関のデータに一括でアクセスできるからだ。
医療分野特有の脆弱性
医療分野がサイバー攻撃に対して特に脆弱な理由は複数ある。
- レガシーシステムの残存: 医療機関はシステム更新が遅れがちで、古いOSや未パッチのソフトウェアが稼働し続けている
- 可用性優先: 患者の命に関わるため、セキュリティパッチの適用よりもシステムの継続稼働が優先される
- データの高価値性: 医療データはダークウェブで1件あたり**$250〜$1,000**(約37,500円〜150,000円)で取引され、クレジットカード情報($5〜$50)の数十倍の価値がある
- 複雑なサプライチェーン: 1つの医療機関が平均して10〜15のサードパーティベンダーとデータを共有している
| データ種別 | ダークウェブ取引価格(1件) | 日本円換算 |
|---|---|---|
| 医療記録(完全) | $250〜$1,000 | 約37,500〜150,000円 |
| 社会保障番号 | $1〜$10 | 約150〜1,500円 |
| クレジットカード情報 | $5〜$50 | 約750〜7,500円 |
| メールアドレス+パスワード | $0.50〜$2 | 約75〜300円 |
医療記録が突出して高額であることがわかる。氏名、生年月日、保険情報、病歴、処方薬データが1つのレコードに集約されているため、身元詐称から保険詐欺まで多様な犯罪に悪用できるのだ。
欧州の過去の医療データ漏洩との比較
以下の図は、欧州で発生した主な医療データ漏洩事件の規模を比較したものです。
この図からわかるように、Cegedim Santéの1,580万件は、2024年のViamedis/Almerys事件(3,300万件)に次ぐ欧州史上2番目の規模だ。注目すべきは、上位2件がいずれもフランスで発生していることだ。
主要事件の概要
| 事件名 | 国 | 年 | 漏洩件数 | 原因 |
|---|---|---|---|---|
| Viamedis/Almerys | フランス | 2024 | 3,300万件 | 医療保険処理業者への不正アクセス |
| Cegedim Santé | フランス | 2026 | 1,580万件 | 医療ソフト提供者への侵入 |
| NHS Synnovis | 英国 | 2024 | 150万件 | 検査機関へのランサムウェア攻撃 |
| HSE | アイルランド | 2021 | 120万件 | 国営医療サービスへのContiランサムウェア |
| Vastaamo | フィンランド | 2020 | 4万件 | 精神科クリニックチェーンへの侵入・恐喝 |
フィンランドのVastaamo事件は件数こそ少ないが、精神科の治療記録が漏洩し、個々の患者に直接「記録を公開する」と脅迫メールが送られるという極めて悪質な事件だった。件数だけでなく、データの機微性も考慮する必要がある。
GDPR違反と制裁の見通し
GDPRにおける医療データの位置付け
EU一般データ保護規則(GDPR)では、医療データは「特別カテゴリーの個人データ」(第9条)に分類され、最も厳格な保護が求められる。今回の事件でCegedim Santéが問われうるGDPR違反は以下の通りだ。
- 第32条(処理のセキュリティ): 適切な技術的・組織的セキュリティ措置を講じる義務
- 第33条(監督機関への通知): 侵害の72時間以内通知義務
- 第34条(データ主体への通知): 高リスクの場合の本人通知義務
- 第35条(データ保護影響評価): 大規模な医療データ処理におけるDPIA実施義務
制裁金の予測
GDPRの制裁金は、全世界年間売上高の最大4%または2,000万ユーロのいずれか高い方が上限だ。Cegedim Groupの2025年度売上高は約6.5億ユーロであり、最大で**約2,600万ユーロ(約42億円)**の制裁金が科される可能性がある。
ただし、過去の判例を見ると、CNIL(フランスデータ保護機関)は全額に近い制裁金を科すことは稀であり、実際には売上高の0.5〜2%程度(約325万〜1,300万ユーロ)が現実的な範囲と考えられる。
日本のマイナ保険証制度への教訓
マイナ保険証の現状
2024年12月に紙の健康保険証が廃止され、マイナンバーカードと一体化した「マイナ保険証」への移行が進められている日本にとって、今回のフランスの事件は他人事ではない。
マイナ保険証制度では、オンライン資格確認システムを通じて、医療機関が患者のマイナンバーカードをICカードリーダーで読み取り、保険資格や薬剤情報を照会する仕組みだ。このシステムは社会保険診療報酬支払基金と国民健康保険中央会が運営しているが、各医療機関が使用するレセプトコンピュータや電子カルテシステムは複数のサードパーティベンダーが提供している。
フランスの事例から学ぶべきポイント
| 課題 | フランスの教訓 | 日本への提言 |
|---|---|---|
| サードパーティ管理 | ベンダー1社の侵害で1,580万件流出 | 電子カルテベンダーのセキュリティ監査を義務化すべき |
| データの集中リスク | 中央システムの侵害が広範な影響 | オンライン資格確認システムの多層防御を強化 |
| インシデント対応 | 発覚から通知までの遅れが批判 | 72時間以内通知ルールの厳格な運用 |
| データの最小化 | 必要以上のデータが集約されていた | 閲覧できる情報の範囲を用途に応じて制限 |
特に注視すべきは、日本の医療IT市場において、電子カルテシステムの市場シェアが少数のベンダーに集中している点だ。仮にシェア上位のベンダーが侵害された場合、フランスと同様の大規模な被害が発生しうる。
個人でできる対策
今回の事件を受けて、患者(つまり一般市民)が取るべき対策は以下の通りだ。
- 強固なパスワード管理: 医療ポータルサイトのパスワードを一意の強力なものに変更する。1Passwordなどのパスワードマネージャーを活用し、サイトごとに異なるパスワードを設定することが重要だ
- フィッシングへの警戒強化: 漏洩データを使った標的型フィッシングメールが増加する可能性がある。「医療記録の確認」「保険の更新手続き」を騙るメールには特に注意する
- 信用情報の監視: 社会保障番号や保険情報が漏洩した場合、身元詐称による不正な口座開設や融資申請が行われるリスクがある。定期的に信用情報機関(日本ではCIC、JICC、KSC)で自身の信用情報を確認する
- 二要素認証の有効化: マイナポータルをはじめ、医療・行政関連のオンラインサービスでは必ず二要素認証を設定する
医療データセキュリティの今後
ゼロトラスト・アーキテクチャへの移行
従来の境界防御型セキュリティでは、サードパーティ経由の侵入を防ぎきれないことが今回の事件でも明らかになった。医療分野においても、「すべてのアクセスを信頼しない」ゼロトラスト・アーキテクチャの導入が急務だ。
具体的には、以下の要素が求められる。
- マイクロセグメンテーション: ネットワークを細分化し、侵害が発生しても影響範囲を限定する
- 継続的認証: 一度の認証で長時間アクセスを許可するのではなく、行動パターンに基づいて継続的に信頼性を検証する
- データの暗号化: 保存時(at rest)だけでなく、処理中(in use)のデータも暗号化する機密コンピューティング技術の活用
- 最小権限の原則: 各ユーザー・システムに必要最小限のアクセス権限のみを付与する
EU規制の強化の方向性
欧州委員会は2025年後半から「European Health Data Space(EHDS)」規則の施行準備を進めている。EHDSは医療データの二次利用を促進しつつ、セキュリティ要件を大幅に強化するもので、今回のような事件を受けてさらなる規制強化が議論される可能性が高い。
まとめ ─ 今すぐ取るべきアクション
Cegedim Santéの1,580万件の医療データ漏洩は、サードパーティリスクの恐ろしさを改めて浮き彫りにした。医療データは個人情報の中でも最も機微性が高く、一度漏洩すれば取り消すことができない。以下のアクションを今すぐ実行してほしい。
- パスワードの見直し: 医療関連サービス(マイナポータル、お薬手帳アプリ、かかりつけ医のオンライン予約システムなど)のパスワードをすべて一意の強力なものに変更する
- 二要素認証の設定: マイナポータルやオンライン医療サービスで二要素認証を有効にしていない場合は、今すぐ設定する
- 不審なメールへの警戒: 「医療記録の確認」「保険証の更新」を騙るメールやSMSが届いた場合、リンクをクリックせず、公式サイトから直接アクセスして確認する
- 信用情報の定期確認: 半年に1回程度、CICやJICCで自身の信用情報を確認する習慣をつける
- かかりつけ医への確認: 利用している診療所がどの電子カルテベンダーを使用しているか把握し、セキュリティ体制について質問することも有効だ
医療DXの推進は不可逆的な流れだが、セキュリティへの投資なくして信頼は築けない。今回のフランスの事例を、日本の医療セキュリティ強化の契機としたい。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星