米国で発生した大規模な医療情報漏えい事件をめぐり、医療IT業界に大きな影響を与える可能性のある司法判断が下された。
米連邦裁判所は2026年6月22日、Oracle Healthと8つの医療システムに対して提起された集団訴訟について、主要な請求の審理継続を認めた。裁判所は、患者情報の漏えい責任がシステム提供企業だけに限定されるとは言えないとの見解を示し、医療機関側にも説明責任が及ぶ可能性を認めた。
医療分野では電子カルテやクラウドサービスへの依存が急速に高まっているが、今回の判断は「データ管理を外部委託していても責任は免れない」という新たなメッセージとして注目を集めている。
発端はOracle Healthへのランサムウェア攻撃
問題となったのは、2025年1月に発生したOracle Health関連システムへのサイバー攻撃である。
Oracle Healthは、米電子カルテ大手CernerをOracleが2022年に買収した後のブランド名称だ。
訴状によると、攻撃者は旧Cerner環境へ不正侵入し、患者の氏名、生年月日、社会保障番号、運転免許証番号、診療情報、投薬情報などの機密データを取得したとされている。
医療情報は金融情報以上に高額で取引されるケースもあり、近年サイバー犯罪者の主要な標的となっている。患者データには個人識別情報だけでなく健康状態や診療履歴も含まれるため、一度流出すると長期的な被害につながる可能性がある。
医療機関側の主張を裁判所が退ける
今回の訴訟で医療機関側は、「データ管理はOracle Healthが担っており、責任はベンダー側にある」と主張していた。
しかし裁判所はこの主張を認めなかった。
判決では、患者情報の保護義務は医療機関が第三者へ委託した場合でも消滅するものではなく、単にベンダーへ管理を任せたという理由だけで責任を免れることはできないと指摘している。
これは医療DXが進む現代において極めて重要な判断といえる。
病院や医療システムの多くは、電子カルテやクラウドサービス、医療データ管理を外部企業へ依存している。しかし患者との関係性の主体はあくまで医療機関であり、裁判所はその責任を重視した形だ。
患者がベンダーを直接訴えられる可能性も
今回の判断で特に注目されたのは、患者がシステムベンダーに対して直接訴訟を起こせる可能性を認めた点である。
裁判所は一部の医療システムにおいて、患者が病院とベンダーの間で締結されたビジネスアソシエイト契約の第三者受益者に該当する可能性があると判断した。
これが認められれば、患者は医療機関だけでなくシステム提供企業に対しても契約違反を根拠とした責任追及が可能になる。
医療ITベンダーにとっては、これまで以上に法的リスク管理が重要になる可能性がある。
サイバー攻撃が医療現場を揺るがす時代
近年、医療機関は世界的にランサムウェア攻撃の主要ターゲットとなっている。
医療データの価値が高いことに加え、病院は24時間365日稼働しているため、システム停止による影響が大きい。そのため攻撃者は身代金支払いに応じる可能性が高いと考えている。
実際に米国では近年、大規模病院ネットワークや保険会社へのサイバー攻撃が相次いでいる。
単なる情報漏えいだけではなく、診療予約や電子カルテの利用停止、救急搬送の制限など、医療提供そのものに影響を与える事例も増えている。
サイバーセキュリティはもはやIT部門だけの課題ではなく、医療の安全性そのものを支える経営課題へと変化している。
医療DXの拡大と責任の所在
医療分野ではAIやクラウド技術の活用が急速に進んでいる。
電子カルテの高度化、遠隔医療、AI診断支援など、デジタル技術は医療の効率化と質向上に大きく貢献している。一方で、データ管理の複雑化は新たなリスクも生み出している。
今回の訴訟は単なる情報漏えい事件ではない。
デジタル化が進む医療業界において、「患者データを誰が守るのか」という根本的な問いを投げかけている。
医療機関なのか、ITベンダーなのか、それとも両者なのか。
今後の裁判の行方は、医療DX時代における責任のあり方を左右する重要な判例となる可能性がある。
出典
Becker’s Hospital Review
「Oracle Health, 8 health systems must face data breach lawsuit」


コメント