愛知県の藤田医科大学病院において、個人情報漏えいの可能性が公表されました。報道によれば、規定に反して情報を個人のPCへ移し、院外へ持ち出された端末が「サポート詐欺」に遭ったことが契機とされています。医療機関は診療情報をはじめ機微性の高いデータを扱うため、ひとたび不適切な端末管理やソーシャルエンジニアリングが重なると、被害は患者・職員・委託先にまで広がり得ます。
本稿では、今回の事案を「なぜ起きたのか」「どこが危険なのか」という観点で整理し、医療機関が今すぐ実装すべき実務的な再発防止策を解説します。
サポート詐欺とは何か:マルウェアより先に“人”を狙う攻撃
サポート詐欺は、Web閲覧中の偽警告(例:ウイルス感染、システム異常)や音声案内などで不安を煽り、偽のサポート窓口へ電話やチャットを誘導する手口です。被害者に遠隔操作ツールを入れさせ、端末を操作したり、金銭を支払わせたり、端末内のデータを探索したりします。
ここで重要なのは、サポート詐欺は高度な脆弱性攻撃を使わずとも成立する点です。攻撃者が狙うのは「ユーザーの判断」と「端末に残るデータ」です。つまり、端末に個人情報が保存されていれば、端末の管理水準が低いほど被害は拡大します。
なぜ医療機関で深刻化するのか:規定違反の持ち出しが“防御の外側”を作る
医療機関の情報セキュリティは、院内ネットワーク・端末・認証・監査を前提に設計されます。ところが、情報を個人PCへ移して院外に持ち出すと、その前提が崩れます。具体的には次のような「防御の外側」が生まれます。
院内の統制(資産管理・パッチ適用・EDR監視)が効かない
管理端末であれば、OS更新、ウイルス対策、暗号化、操作ログ取得、持ち出し制御などの統制が可能です。しかし私物PCは設定がまちまちで、更新停止、古いソフトの放置、家族共用、無断アプリ導入などが起こりやすく、攻撃成功率が上がります。
データが「暗号化されずに保存」されやすい
個人PCへファイルコピーを行う運用では、フォルダ単位で平文保存になりがちです。サポート詐欺により遠隔操作されると、ファイル探索・外部送信の危険が高まります。仮に外部送信の痕跡が確認できなくても、「アクセス可能だった」という状態自体が漏えい可能性として評価されます。
事故対応が遅れる(気づきにくい・報告しにくい)
規定違反が関わると、当初報告が遅れたり、事実確認が難航したりします。初動の遅れはログ保存期間の経過や、攻撃者の再侵入、関係者への通知の遅延につながります。医療現場は多忙なため、心理的圧力で判断が鈍りやすい点にも注意が必要です。
今回の構図から見えるリスク:漏えいは「侵入」より「持ち出し」で起きる
セキュリティ事故は「外部からの高度な侵入」が注目されがちですが、医療分野では実務上、次の組み合わせが最も危険です。
- 規定外のデータ持ち出し(私物PC、USB、私物クラウド)
- ユーザーを狙う詐欺(サポート詐欺、フィッシング、なりすまし電話)
- 端末管理の不徹底(暗号化なし、ログなし、管理者権限の常用)
この組み合わせでは、たとえ院内のネットワーク防御が堅牢でも、被害は院外端末で発生します。結果として、組織全体のセキュリティ投資が“抜け穴”で無効化される形になります。
医療機関が今すぐ実装すべき再発防止策
再発防止は「規定を作る」だけでは不十分で、技術的にできない状態を作ることが鍵です。ここでは優先度の高い対策を、現場導入しやすい順に整理します。
私物PCへの保存・持ち出しを技術的に封じる
- DLP(情報漏えい対策)で、外部媒体・個人クラウドへのコピーを制御する
- 端末認証(管理端末のみアクセス可)を徹底し、未登録端末の接続を遮断する
- VDI/リモートデスクトップで院外作業を「データを持ち出さない方式」に切り替える
最も効果が高いのは、院外からの作業をVDI等に寄せ、端末側にデータを残さない設計にすることです。
管理端末の必須要件を明確化(暗号化・EDR・権限)
- フルディスク暗号化を必須化し、回復キー管理も含めて運用する
- EDR/MDMで不審挙動検知、遠隔ロック・ワイプ、構成統制を行う
- ローカル管理者権限の常用を禁止し、必要時のみ昇格する
サポート詐欺で遠隔操作ツールを入れさせるケースでは、管理者権限の有無が被害規模を左右します。
サポート詐欺対策を「教育」ではなく「手順化」する
注意喚起だけでは現場は動きません。以下のように、迷わず行動できる手順に落とし込みます。
- 偽警告が出たらブラウザを強制終了し、PCをネットワークから切断する
- 画面の番号には連絡しない。院内の正規窓口に連絡する
- 遠隔操作の指示に従った場合は、即時にインシデントとして申告する(懲罰より早期封じ込めを優先)
「報告しやすさ」は被害最小化の要件です。規定違反が背景にあっても、隠蔽が起きない運用設計が重要です。
ログと証跡を残し、初動を標準化する
- 端末・認証・ファイル操作のログを一定期間保全し、調査可能性を確保する
- 隔離、パスワードリセット、トークン失効、関係端末の点検を含む初動チェックリストを整備する
- 委託先やベンダー連絡、関係者通知、再発防止のレビューまでを一連の手順として定義する
漏えい「可能性」の段階では、何が起きたかを立証するためにログが生命線になります。
ガバナンスの観点:現場の事情を前提に“守れるルール”へ
医療現場では、研究・学会・報告書作成などで院外作業が発生しやすく、「持ち出したくなる」圧力が常に存在します。したがって、禁止だけを強めると抜け道が生まれます。対策の本質は、業務要件(院外作業、共同研究、締切)を満たしつつ、データを外へ出さない代替手段(VDI、共有ストレージの権限設計、期限付きアクセス)を提供することです。
また、医療情報は個人情報保護の観点に加え、診療の継続性(可用性)にも直結します。サポート詐欺を単なる金銭被害として扱わず、情報漏えい・ランサムウェアの入口になり得るインシデントとして位置づけ、組織横断で対策を進める必要があります。
まとめ:最弱点はネットワークではなく「端末と人の接点」
今回の件が示唆するのは、強固な院内対策があっても、規定外の持ち出しと詐欺が組み合わさることで事故が成立するという現実です。医療機関のセキュリティは、技術・運用・教育の三位一体が求められますが、最優先は「データを端末に残さない」「私物端末を業務データの器にしない」という設計思想です。
サポート詐欺は今後も形を変えて継続します。だからこそ、個人の注意力に依存せず、持ち出しが起こりにくい仕組み、起きても早期に封じ込められる手順とログ、そして報告しやすい文化を整備することが、医療の信頼を守る最短距離となります。
参照: 愛知県の藤田医科大学病院で個人情報漏えいの可能性、規定に反して情報を持ち出した個人PCがサポート詐欺に – dメニューニュース