PSI CyberSecurity Insight

トップ> Insight Post一覧> 第189号:研究室PCを起点とした医療データ漏えいリスクと動画情報の守り方

2026年6月17日

株式会社ピーエスアイ

研究室PCを起点とした医療データ漏えいリスクと動画情報の守り方

医療機関を狙う攻撃は「院外端末」から始まる

2026年6月、国内大学・教育機関の研究室PCが攻撃を受け、大学病院の手術動画が流出した可能性が報じられました。診療系の停止だけでなく、情報漏えいにも備えが必要です。

病院情報システムは統制が進む一方で、研究・教育用途の端末は管理が分散しがちです。守りの薄い端末が侵入口となり、機微性の高い医療データへ到達され得ます

特に動画は取り扱いが部門単位で最適化されやすく、保存先も散在します。結果として、データの所在とアクセス経路が見えにくくなり、検知と封じ込めが遅れる恐れがあります。

国内医療機関で懸念された手術動画流出のシナリオ

報道では、国内大学・教育機関の研究室にあるPCがサイバー攻撃を受け、関連する大学病院の患者手術動画が流出した可能性が示されました。院内外の境界が課題になりやすい事例です。

手術動画は氏名が映らなくても、身体的特徴や術野、音声、モニター表示から個人や診療内容が推測され得ます。個人情報以上にセンシティブな医療データとして扱う必要があります。

研究室PCが狙われやすい背景には、OS更新の遅れやローカル管理者権限の常態化があります。共同研究やファイル共有の機会も多く、フィッシング等の入口になりやすい点も要注意です。

さらに、動画解析や共有のために一時的に端末へコピーする運用が起こりがちです。暗号化、アクセス制御、ログ取得が不十分だと、端末侵害がそのまま漏えいに直結します。

被害を最小化するための実務対策と初動

漏えいが疑われる場合、患者への影響は長期化し得ます。動画は一度拡散すると回収が困難で、二次流通のリスクも高いため、早期の事実確認と影響範囲の特定が重要です。

予防策としては、医療データの保管・加工・共有を標準化し、個人PC保管を原則禁止する考え方が有効です。アクセス制御されたサーバやVDI(仮想デスクトップ)へ集約し、例外は申請制にします。

研究室PCを含めた資産管理とベースライン強制も欠かせません。OS・ソフト更新、ディスク暗号化、管理者権限の最小化を徹底し、EDR等で不審挙動を早期検知できる状態を整えます。

ネットワーク面では、研究ネットワークと医療情報ネットワークの境界を明確化します。認証・許可された経路以外を遮断し、ゼロトラストの考え方で端末状態も条件にしたアクセス制御を適用します。

初動では「疑い」の段階から端末隔離、ログ保全、認証情報リセット、侵害範囲の調査を並行で進めます。現場判断での初期化やログ削除は証跡を失うため避け、フォレンジック前提で対応します。

まとめ

ネットワークベンダーとして、PSIでは、医療と研究・教育が交わる境界領域を重点的に守る発想が重要だと考えます。診療系の堅牢化だけでは、データの導線が残りやすいためです。

多層防御とゼロトラストを前提に、端末・ID・ネットワーク・データの各層で統制点を設けます。特に動画のような大容量データは、保管場所と扱い方を技術と運用で固定することが効果的です。

加えて、可視化と迅速な封じ込めができる体制を整えることで、被害の拡大を抑えられます。例外運用を最小化し、境界をまたぐアクセスを前提にした設計へ見直すことが現実的です。

会社概要

社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp