2026年6月、九州大学がサイバー攻撃を受け、患者の手術動画データが流出した可能性が報じられた。対象は複数患者に及ぶとされ、事実関係の精査が進められている段階でも、医療機関にとって「手術動画」というデータがいかに高い機微性と再識別性を持つか、そして研究・教育・診療の現場でデータが分散しやすいかを改めて突きつける出来事だ。
医療分野の情報セキュリティは、電子カルテや検査データだけではない。手術映像、内視鏡映像、術中モニタの波形、音声、手術室内の会話など、映像・音声を含む「リッチデータ」が増えるほど、漏えい時の影響範囲は拡大する。本記事では、専門家の視点で想定されるリスク、原因となりがちな構造的課題、そして医療機関が現実的に取り組むべき対策を整理する。
手術動画が漏えいした場合の影響はなぜ大きいのか
手術動画は、個人情報の観点で非常に扱いが難しいデータである。典型的な診療情報(氏名・ID・病名・検査値等)と異なり、映像には複数の「手がかり」が同時に含まれやすい。
再識別のリスク:患者名が映っていなくても、術式、身体的特徴、希少疾患、日時情報、医療従事者の発話、画面に表示された患者IDの一部などが組み合わさると、関係者が特定できる可能性がある。
二次利用されやすい:映像はコピー・編集・再投稿が容易で、一度外部に流出すると回収が困難になる。SNSや動画サイト、ダークウェブ等での拡散が起きると、被害が長期化する。
心理的・社会的損害:医療情報漏えいは、金銭的損害以上に、プライバシー侵害やスティグマによる精神的負担が大きい。医療機関への信頼低下にも直結する。
さらに手術動画は、教育・学会発表・研究のために院内外で利用されることがあり、閲覧者や保管場所が増えるほど攻撃面(アタックサーフェス)が広がる点にも注意が必要だ。
医療機関で起きやすい「映像データ」管理の落とし穴
今回のように手術動画の流出可能性が取り沙汰される背景には、医療現場特有の運用課題がある。多くの病院・大学では、診療情報システムの統制は進んでも、周辺領域の映像・機器データ管理が追いついていないケースが少なくない。
部門システムと共有ストレージの乱立
手術部、麻酔科、内視鏡センター、臨床工学部門、研究室などが、それぞれ独自に録画・保管環境を整備していると、アクセス権限やログ監査の基準がバラバラになりやすい。特に、ファイルサーバやNAS、クラウドストレージの「暫定運用」が恒常化すると、管理者不在の領域が生まれ、攻撃者に狙われる。
医療機器・端末のパッチ適用遅れ
手術室周辺の端末や医療機器は、稼働停止が許されず、OSやミドルウェアの更新が遅れがちだ。ベンダー依存の制約で最新化が難しい機器も多く、脆弱性が残存したままネットワークに接続されると、侵入経路になり得る。
遠隔保守・外部委託の認証管理
医療機関は多くのシステムを外部ベンダーに委託している。遠隔保守用アカウントの多要素認証未導入、パスワードの使い回し、不要になったアカウントの放置などがあると、認証情報の窃取から横展開されるリスクが高まる。
研究・教育目的のデータ持ち出し
教育用に編集した動画や、研究データとして抽出した映像が、個人端末や持ち運び可能なメディアに保存されると、暗号化不備や紛失・盗難により漏えいに直結する。病院と大学の機能が同居する組織では、研究室側の情報管理水準のばらつきも課題になる。
想定される攻撃シナリオと初動で重要な観点
報道段階では詳細が不明な点もあるが、一般に医療機関を狙う攻撃は、ランサムウェアだけでなく、情報窃取型マルウェア、認証情報の悪用、脆弱性悪用、サプライチェーン経由など多様だ。重要なのは「侵入をゼロにする」発想だけでなく、「侵入を前提に早期検知し、被害を局所化する」設計である。
初動対応では、次の観点が被害拡大を左右する。
封じ込めと証拠保全の両立:ネットワーク遮断やアカウント停止だけでなく、ログ・ディスクイメージ等の保全を計画的に行い、原因究明と再発防止につなげる。
漏えい評価の現実性:流出「可能性」を精査する際、外部転送ログ、クラウドの監査ログ、DLPの検知、プロキシ・DNSログなどを突合し、どのデータが、いつ、どこへ、どの手段で出た可能性があるのかを段階的に絞り込む。
患者・関係者対応:医療機関は説明責任が重い。技術調査と並行して、対象範囲の特定、連絡手段、相談窓口、再発防止の方向性を整理し、二次被害(なりすまし連絡、詐欺)への注意喚起も含める。
医療データを守る実践的対策:手術動画を中心に
医療現場は24時間稼働で、コスト・人材制約も厳しい。そのため「理想論」ではなく、優先順位をつけて実装可能な対策を積み上げることが重要だ。
データ分類と保存先の標準化
まず、手術動画・内視鏡映像・術中モニタデータを「要配慮情報を含む高機微データ」として明確に分類し、保存先を標準化する。部門ごとに散在するNASや個別PC保管を減らし、統制された保管基盤(権限管理、暗号化、監査ログ、バックアップを備えた環境)へ集約する。
最小権限と強固な認証(MFAの徹底)
動画閲覧・ダウンロード・共有の権限を最小化し、特権IDの棚卸しを定期的に行う。外部委託や遠隔保守を含め、MFAを標準要件化し、アクセス元制限(IP制限、端末証明書、条件付きアクセス)を組み合わせる。
ネットワーク分離とゼロトラスト的な境界設計
医療機器ネットワーク、事務系ネットワーク、研究系ネットワーク、インターネット接続領域を分離し、部門間通信は必要最小限に制御する。特に録画装置や動画保管サーバへのアクセスは、端末健全性チェックやプロキシ経由に限定し、横展開(ラテラルムーブメント)を抑える。
ログ監視と異常検知の運用設計
「ログは取っているが見ていない」状態を脱するため、優先的に監視すべきイベントを絞る。例えば、夜間の大量ダウンロード、権限昇格、普段使わない端末からのアクセス、クラウド共有リンクの生成、外部への大量転送などだ。SIEMやEDRの導入が難しい場合でも、まずはクラウド監査ログとファイルサーバ監査の整備から始められる。
匿名化・マスキングと「公開前提」編集のルール
教育・学会発表用の動画は、術野以外の情報(患者ID表示、音声、日時、スタッフ名札等)が混入しないよう、編集テンプレートとチェックリストを作る。可能であれば、アップロード前に自動マスキングやメタデータ削除を行い、公開・共有の経路も組織が承認した方法に限定する。
バックアップと復旧訓練(ランサム対策の要)
動画データは容量が大きく、バックアップが後回しになりやすい。しかし、ランサムウェア被害では診療継続に直結する。オンライン・オフラインを組み合わせたバックアップ、復旧手順書、年に複数回の復旧訓練を実施し、復旧時間目標を現実的に設定する。
大学病院・研究機関に求められるガバナンス
大学病院は「診療」「教育」「研究」が同時並行で進むため、データの用途と権限が複雑化する。ここで重要なのは、個別最適ではなく全体統制だ。
統一ポリシー:映像データの取得・保存・持ち出し・削除・第三者提供の基準を文書化し、例外手続きを明確にする。
責任分界の明確化:病院部門、情報基盤部門、研究室、外部ベンダーの責任範囲を契約と運用で一致させる。
棚卸し:どこに何が保存され、誰が管理者で、どの経路でアクセスできるかを定期点検する。特に古い共有フォルダ、退職者アカウント、放置サーバが温床になる。
まとめ:医療の信頼を守るために、映像データを「最重要資産」として扱う
医療機関へのサイバー攻撃は、単なるITトラブルではなく、患者のプライバシーと医療への信頼を揺るがす重大事案になり得る。手術動画は利活用の価値が高い一方、再識別性が高く、拡散耐性が低いデータでもある。だからこそ、保存先の標準化、強固な認証、アクセス制御、監査ログ、匿名化ルール、バックアップと復旧訓練といった基本を、映像データにも徹底して適用することが急務だ。
今回の報道を契機に、医療機関・大学が「診療情報だけ守ればよい」という発想を改め、映像・音声を含む周辺データまでを守る包括的なセキュリティに舵を切れるかが問われている。
参照: 【速報】九州大学にサイバー攻撃 患者43人の手術動画データが流出した可能性(2026年6月9日掲載)|FBS NEWS NNN – 日テレNEWS NNN