大学病院がサイバー攻撃を受け、患者の手術動画が外部に流出した可能性が報じられた。医療機関は診療継続が最優先である一方、電子カルテや手術室システム、画像・動画データ、委託先ネットワークなど攻撃面が広く、ひとたび侵害されれば個人情報・機微情報の漏えい、診療停止、医療安全への影響が同時に発生しうる。本稿では、医療分野における「手術動画」というデータ特性を踏まえ、想定される侵入経路、法令・ガバナンス観点の論点、そして現場が取り得る実務的な再発防止策を整理する。
手術動画は「医療データ」かつ「極めて機微な個人情報」
手術動画は単なる映像ではなく、患者の身体内部や病変、手術手技、術中の会話や音声、画面上の患者ID・日時・施設名などが含まれる場合がある。匿名化が不十分であれば、本人特定につながる可能性が高い。さらに、術式や医師の手技、医療機器の設定等が映り込めば、医療機関の運用情報・知財・安全対策上の情報まで露呈しうる。したがって、手術動画は個人情報保護の観点だけでなく、医療安全・病院経営・研究倫理・教育利用のガバナンスまで含めた統合的管理が求められる。
医療機関が狙われる理由と攻撃の典型パターン
医療機関は24時間稼働で停止が許されず、患者対応の即時性が優先される。加えて、部門ごとに機器やシステムが分散し、古いOSや専用端末を抱えやすい。これらは攻撃者にとって「侵入しやすく、身代金を払いやすい」標的と見なされる。
典型的には、以下の要素が複合して被害が拡大する。
- 侵入:VPN・リモートデスクトップの認証突破、フィッシング、委託先からのサプライチェーン侵入、脆弱なWebアプリや公開サーバへの侵害。
- 横展開:Active Directoryなど認証基盤の掌握、端末管理の不備、ネットワーク分離不足により、診療系・部門系・バックアップ領域へ拡散。
- 情報窃取と二重恐喝:暗号化だけでなく、事前にデータを外部へ持ち出し「公開する」と脅迫する。手術動画のようなセンシティブデータは圧力材料になりやすい。
- 復旧妨害:バックアップ破壊、ログ消去、復旧用アカウントの無効化など。
「流出の可能性」の段階で必要な初動対応
手術動画の流出が疑われる場合、事実関係の確定前でも、被害拡大を抑え、後の説明責任を果たすための初動が重要となる。医療機関の初動は、技術対応とガバナンス対応を並行させる必要がある。
技術的初動(止血と証拠保全)
- 封じ込め:侵害が疑われる端末・サーバのネットワーク隔離、特権アカウントの停止・パスワードリセット、外部接続経路(VPN等)の一時遮断。
- 証拠保全:ログ、ディスクイメージ、メモリ情報、EDRのアラート等を保全。安易な再起動やクリーンアップは痕跡消失につながる。
- 侵害範囲の可視化:認証ログ、データ転送量、クラウドストレージのアクセス履歴、動画保存サーバの操作履歴を確認し、持ち出しの有無と期間を推定。
運用・法務的初動(説明責任の土台づくり)
- インシデント体制の立ち上げ:医療情報部門だけでなく、病院長直轄の意思決定ライン、広報、法務、看護・診療部門、研究倫理、委託先管理の責任者を含める。
- 患者・職員の二次被害抑止:流出データを利用したなりすまし連絡、詐欺、誹謗中傷の可能性に備え、注意喚起の準備をする。
- 記録化:いつ誰が何を判断し、どの情報に基づき、どの対策を行ったかをタイムラインで記録。後日の監査や説明で重要になる。
手術動画管理に潜む構造的な弱点
手術動画は、電子カルテやPACSほど統制された基盤ではなく、部門の工夫で運用されているケースが多い。具体的には、以下が弱点となりやすい。
- 保存場所の分散:手術室PC、録画装置、NAS、外付けHDD、クラウド共有などが混在し、棚卸しが不十分。
- アクセス権限の肥大化:教育目的の共有や当直対応の利便性を優先し、最小権限が徹底されない。
- 個人端末・個人アカウント利用:編集や学会発表準備で個人PCへコピー、個人クラウドへアップロードなど、統制外の経路が生まれる。
- 匿名化の運用不備:患者IDや音声、モニタ画面の情報が残ったまま共有される。
- 長期保管の曖昧さ:保存期間・廃棄手順が部門任せとなり、不要データが溜まってリスクが増大。
再発防止に向けた実務的対策
医療機関のセキュリティは「理想論のフル装備」ではなく、診療継続と現場負荷を踏まえた優先順位設計が鍵になる。以下は、手術動画を含む医療データを守るための現実的な施策である。
データガバナンスの整備(どこに何があるかを確定する)
- 手術動画のデータ台帳:保存場所、管理者、アクセス権、保存期間、利用目的(診療・教育・研究)を棚卸しし、年1回以上更新する。
- 標準保存基盤への集約:部門NASや個人保管を減らし、監査ログが取れる基盤に統合する。
- 保存期間と廃棄:必要最小限の保管にし、廃棄は手順化(承認・記録・消去証跡)。
アクセス制御と監査(見られたら分かる、持ち出せない)
- 最小権限:教育用閲覧と原本編集を分離し、原本は限定された管理者のみ操作可能にする。
- 多要素認証:VPN、管理者アカウント、クラウドストレージ、動画管理システムに必須化。
- 監査ログの保全:誰がいつ閲覧・ダウンロードしたかを記録し、改ざん耐性のある保管を行う。
- DLP/持ち出し制御:USB書き出しや外部クラウドアップロードを制限し、例外は申請制に。
ネットワーク分離とバックアップ(侵害の拡大を止め、復旧できる)
- セグメンテーション:診療系、手術室機器、事務系、研究・教育系、委託先接続を分け、必要な通信のみ許可。
- オフライン/イミュータブルバックアップ:バックアップが暗号化・削除されない設計(世代管理、書き換え不可、復旧訓練)。
- 脆弱性管理:医療機器のパッチ制約を前提に、代替策(仮想パッチ、通信制限、EDR)を組み合わせる。
教育利用・研究利用の統制(動画特有のリスクを潰す)
- 匿名化・マスキングの標準化:患者ID、音声、画面表示を自動/半自動で除去する手順を定め、チェック責任者を置く。
- 二次利用の同意管理:教育・研究・広報の利用目的ごとに同意の範囲を明確化し、逸脱を防ぐ。
- 共有は期限付き:学会・カンファレンス用の共有リンクやアカウントは有効期限・再共有禁止を徹底。
経営層が持つべき視点:セキュリティは医療安全の一部
サイバー攻撃は「ITの障害」ではなく、診療停止や手術延期、検査遅延などの医療安全リスクに直結する。手術動画流出のような事案は、患者の尊厳を傷つけ、病院への信頼を長期にわたり毀損しかねない。経営層は、(1)守るべきデータの優先順位、(2)診療継続計画と復旧時間目標、(3)委託先を含む責任分界、(4)インシデント訓練と意思決定の手順、を明文化し、投資判断を「費用」ではなく「リスク低減と医療提供責任の遂行」として捉えるべきである。
まとめ
手術動画は、患者の個人情報に加え、医療安全・教育・研究の要素が絡む高機微データであり、漏えい時の影響は大きい。医療機関がサイバー攻撃を受けた際は、封じ込めと証拠保全、侵害範囲の特定、説明責任に耐える記録化を同時に進める必要がある。再発防止の要点は、動画の保存場所と権限を見える化して統制基盤へ集約し、最小権限・監査・持ち出し制御・分離・復旧可能なバックアップを揃えることにある。セキュリティ対策を医療安全の中核として位置づけ、平時から実装と訓練を重ねることが、患者と医療を守る最短距離となる。