パスワードが漏れたら変更すればよい。クレジットカード番号が漏れたら再発行すればよい。では指紋や掌紋(手のひらの紋様)が漏れたら、どうすればよいのか——。2026年に公表された米国最大級の公立医療機関NYC Health + Hospitals(NYC H+H)の情報漏えいは、まさにこの問いを突きつけた。少なくとも180万人分の医療記録・社会保障番号・金融情報に加え、指紋・掌紋といった生体情報が、第三者ベンダー経由の侵害で流出したとされる。本稿では、この事案の何が深刻なのか、そして日本企業が「委託先」と「生体情報」をどう扱うべきかを解説する。
概要
- 被害組織:NYC Health + Hospitals(ニューヨーク市の公立病院システム。米国最大級の公的医療ネットワーク)。
- 影響人数:少なくとも約180万人。2026年でも最大級の医療情報漏えいのひとつ。
- 侵入経路:NYC H+Hのシステムへアクセス権を持つ第三者ベンダー(委託先)の侵害。
- 侵入期間:2025年11月末ごろ〜2026年2月。2026年2月2日に不審な活動を検知。
- 流出データ:医療記録・診断・投薬・検査結果・健康保険情報・社会保障番号(SSN)・政府発行ID・金融口座情報・オンライン認証情報・正確な位置情報・生体情報(指紋・掌紋)。
何が起きたのか
NYC H+Hは、ニューヨーク市が運営する米国最大級の公立医療システムであり、多数の病院・クリニック・在宅ケアを抱える。同機関は2026年2月2日に自組織ネットワーク上の不審な活動を検知し、調査の結果、2025年11月末ごろから2026年2月にかけて、権限のない第三者が一部のネットワークにアクセスしていたことを確認した。この件は2026年3月24日に米保健福祉省(HHS)へ報告され、その後、被害通知が公表された。
重要なのは、侵入経路がNYC H+H自身のシステムの直接的な突破ではなく、同機関のシステムにアクセスできる第三者ベンダー(委託先)の侵害だったとされる点だ。攻撃者は信頼された取引先という「正面玄関の合鍵」を手に入れ、そこを足がかりに患者・職員の機微なデータへ到達した。
流出したデータの範囲は極めて広い。氏名や連絡先にとどまらず、診断名・投薬・検査結果といった医療の中身、社会保障番号や政府発行IDといったなりすましに直結する識別子、金融口座情報、さらには正確な位置情報(geolocation)や指紋・掌紋という生体情報までが含まれるとされる。NYC H+HはKroll社を通じて、対象者へ24か月間の無償のクレジットモニタリング等を提供すると発表した。
技術的な解説
「リセットできないデータ」が漏れる意味
この事案を一般的なデータ漏えいと一線を画すものにしているのが、生体情報(指紋・掌紋)の流出だ。漏えい対応の常識は「漏れたものを無効化する」ことにある。パスワードは変更でき、クレジットカードは再発行でき、社会保障番号ですら(米国では困難だが)理屈の上では再付番の余地がある。しかし指紋や掌紋は一生変わらない。一度漏れれば、その人が生きている限りリスクが残り続ける。
生体認証は「本人そのもの」を鍵にする仕組みだ。便利な一方、鍵を取り替えられないという根本的な弱点を抱える。指紋データそのものが攻撃者の手に渡れば、将来にわたって本人確認の信頼性が損なわれる。クレジットモニタリングは金融的ななりすましには一定の効果があるが、生体情報の流出に対しては「取り消す」手段が存在しない。これが、生体情報を扱うこと自体の重みである。
位置情報の機微性
「正確な位置情報」が含まれた点も見逃せない。医療機関が保持する位置情報は、いつどの医療施設を訪れたか——すなわちどんな治療を受けていた可能性があるかを推測させる。精神科・依存症治療・生殖医療など、本人が秘匿したい受診歴が、位置情報と診断情報の組み合わせから浮かび上がりうる。単体では無害に見えるデータも、組み合わさることでプライバシー侵害の威力を増す。
「信頼された第三者」という攻撃面
攻撃者がNYC H+H本体を直接破らず、アクセス権を持つベンダーを侵害して回り込んだ構図は、近年のサプライチェーン/第三者リスクの典型だ。組織は自社のセキュリティを固めても、システムへアクセスを許した委託先のセキュリティ水準までは見えにくい。委託先に付与した権限が広すぎたり、委託先側の認証が弱かったりすれば、そこが最も柔らかい侵入口になる。「自社は堅牢」という前提が、信頼の連鎖の最も弱い環で崩される。
日本企業への影響
これは米国の医療機関の事例だが、構造的な教訓は日本のあらゆる組織に当てはまる。
- 生体認証の導入が進む日本でも他人事ではない:勤怠管理・入退室・スマホ決済・金融サービスで指紋・顔・静脈認証が広がっている。これらのデータを保持する組織は、漏えい時に「取り消せない情報を漏らした」責任を負う。
- 委託先・SaaS経由の侵害が主要な経路に:日本企業も業務システムの運用・保守・データ処理を外部に委託している。委託先が侵害されれば、自社が直接狙われなくても情報は流出する。個人情報保護法でも委託先の監督義務が課されている。
- 医療・自治体は機微情報の宝庫:日本の医療機関・自治体も、診療情報・マイナンバー・住民情報という極めて機微なデータを大量に保持する。ランサムウェアによる医療機関の被害は国内でも続発しており、第三者ベンダー経由の侵入は十分に起こり得る。
- 「集めたデータは負債になりうる」:便利だからと生体情報や正確な位置情報を集めるほど、漏えい時の被害と賠償・信頼失墜のリスクが膨らむ。
今すぐ確認すべきポイント
1. 委託先・第三者のアクセス権を棚卸しする
自社システムにアクセスできる外部ベンダー・SaaS・保守業者の一覧を作り、それぞれに付与した権限を見直す。最小権限の原則に基づき、不要に広いアクセスを削る。委託先アカウントにもフィッシング耐性のあるMFAを必須化し、利用しない期間はアクセスを無効化する。委託先のインシデント通知義務を契約に明記する。
2. 生体情報は「持たない・テンプレート化・分離」を徹底する
生体認証を扱う場合は、次の設計原則を確認する。
- 生の生体データ(画像)を保存しない。復元困難な特徴量(テンプレート)に変換し、可能なら端末内(セキュアエンクレーブ)に保持して外部送信しない設計にする
- FIDO2/Passkeyのように生体情報が端末から出ない認証方式を優先する
- どうしてもサーバ保持が必要なら、他の個人情報と分離して強固に暗号化し、アクセスを厳格に監査する
3. データ最小化を実践する
「いつか使うかもしれない」で集めたデータは、漏えい時に負債へ変わる。本当に業務に必要なデータだけを、必要な期間だけ保持し、不要になったものは確実に削除する。とくに位置情報・生体情報・SSN相当の識別子(日本ではマイナンバー)は、保持の是非そのものを見直す。
4. 長期間の不正アクセスを検知する仕組み
本件は2025年11月末から2026年2月まで、数か月にわたって侵入が継続していた。長期滞留を許さないため、次を整備する。
- 委託先アカウントを含む異常なアクセス・大量データ持ち出しの検知(UEBA/DLP)
- 機微データへのアクセスログの取得と定期的なレビュー
- 普段と異なる時間帯・地域・端末からのアクセスへのアラート(条件付きアクセス)
5. 漏えい時の対応計画に「取り消せないデータ」を織り込む
生体情報や位置情報が漏れた場合、クレジットモニタリングだけでは被害を償えない。インシデント対応計画に、生体情報を扱う場合のリスク評価と、漏えい時の当該認証方式の停止・代替手段への切り替え手順をあらかじめ盛り込んでおく。
参考情報
- TechCrunch: NYC Health + Hospitals says hackers stole medical data and fingerprints during breach affecting at least 1.8 million people(2026年5月18日)
- Malwarebytes Labs: Biometrics, diagnoses, and bank details exposed in major healthcare breach
- Biometric Update: Data breach exposes medical, financial, biometric data of 1.8 million
- HHS(米保健福祉省)への報告: 2026年3月24日