PSI CyberSecurity Insight

トップ> Insight Post一覧> 第191号:医療機関を狙うサイバー攻撃と手術動画漏えいリスクから学ぶ実務的対策

2026年6月19日

株式会社ピーエスアイ

医療機関を狙うサイバー攻撃と手術動画漏えいリスクから学ぶ実務的対策

医療現場で「動画データ」が狙われる背景

医療機関は24時間稼働が前提で、停止が許されにくい業種です。復旧の遅れが診療継続や医療安全に直結する点が、攻撃者に狙われる要因です。

近年は電子カルテだけでなく、手術室システムや画像・動画データ、委託先経由の接続など攻撃面が広がっています。複数の経路が重なると被害が急拡大します

特に手術動画は、個人情報と業務上の機微情報が同居しやすいデータです。漏えい時の説明責任も重く、技術対策とガバナンスを一体で考える必要があります。

国内医療機関で報じられた手術動画の流出疑惑

国内の大学・教育機関に付属する医療機関で、サイバー攻撃を受け手術動画が外部に流出した可能性が報じられました。現時点での確定情報と推測を切り分けた対応が求められます。

手術動画には身体内部の映像に加え、術中音声、患者ID、日時、端末画面の表示などが含まれる場合があります。匿名化が不十分だと、本人特定につながるリスクが高まります。

侵入経路としては、VPNやリモートデスクトップの認証突破、フィッシング、委託先経由の侵入、脆弱な公開サーバ侵害などが典型です。侵入後は認証基盤の掌握や横展開で被害が広がります

診療継続と説明責任を両立する初動と再発防止

「流出の可能性」の段階でも、封じ込めと証拠保全を同時に進めることが重要です。疑わしい端末の隔離、特権アカウントの停止、外部接続の一時遮断を慎重に判断します。

証拠はログ、ディスクイメージ、メモリ情報、EDRアラートなどを保全します。安易な再起動やクリーンアップは痕跡を失うため、手順と権限を定めた上で実施します。

再発防止では、手術動画の保存場所の分散や権限肥大化を是正します。台帳で所在と責任者を明確化し、監査ログの取れる基盤へ集約、最小権限と多要素認証、持ち出し制御を組み合わせます

加えて、診療系・部門系・委託先接続を分けるセグメンテーションと、改ざんされにくいバックアップ設計が要です。暗号化と情報窃取の両方に備え、復旧訓練まで含めて整備します。

まとめ

ネットワークベンダーとして、PSIでは、医療機関の対策は「多層防御」を前提に、データの重要度と業務停止影響から優先順位を付ける考え方を推奨します。

あわせて、ゼロトラストの発想で認証と権限を細分化し、横展開を前提にセグメンテーションと監査性を高めることが重要です。動画のような高機微データは統制基盤に寄せて管理します。

最後に、インシデント対応は平時の設計で成否が決まります。診療継続の観点を中心に、初動手順、記録化、委託先を含む責任分界を明文化し、継続的に訓練することが有効です。

会社概要

社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp