2倍に増えた医療業界の情報漏えい 何が原因なのか
医療業界からの個人情報の漏えい件数が倍増傾向にある。なぜこれほど状況が悪化したのか。他の業界にも通じる原因が見つかった。
医療機関は個人情報の塊だ。日本においても各種の医療機関を狙った攻撃が増えている。
医療機関側はどの程度、サイバー攻撃に備えているのだろうか。今後は十分に防御できるのだろうか。
医療業界に特化したサイバーセキュリティ企業であるFortified Health Security(以下、Fortified)が発表したレポート(注1)に沿って、状況を解説する。
2倍に増えた医療業界の情報漏えい 何が原因なのか
まずは全体像だ。米国の医療業界で2025年に発生した情報漏えいの件数は、2024年の2倍に増加した。ただし、流出した患者記録の件数は急激に減少したという*。
*レポートには2025年の漏えい件数は2024年比で112%増加して502件になったものの、流出した患者記録数は2億5100万件から3550万件へと急減したと記されている。理由は2024年に起きたChange Healthcareからの漏えい(約1億9000万件)のような「メガ漏えい」がなかったことだ(キーマンズネット編集部)
レポートでは漏えいの原因はランサムウェア攻撃やサードパーティー・リスクだ。データプライバシーの問題よりも重大な脅威として運用面を挙げている。
「医療業界はニュースにおいて大々的に見出しを飾るような重大事件に見舞われる時代から、より消耗の激しい絶え間ない混乱の時代へと移り変わりつつある」(レポートより)
医療業界の企業は自らが直面するリスクを認識している一方で(注2)、それに対抗する能力には自信を持てていない状況をFortifiedのレポートがあぶりだした。
サードパーティー・リスクに関して、医療機関のうちサードパーティー・リスクマネジメント(ベンダーやサードパーティーの脆弱《ぜいじゃく》性の管理)が十分であると「高い自信」を示した組織はわずか4%にとどまった。61%は「ある程度自信がある」と回答し、29%は「全く自信がない」と答えた。
素早いインシデント対応ができるのはわずか6%
インシデント対応に関しては、インシデントを迅速に特定し、封じ込め、復旧できる「非常に高い自信がある」と答えた組織はわずか6%に過ぎなかった。大半の組織は「ある程度自信がある」と回答するにとどまっている。Fortifiedは、データについて「プレッシャーのかかる状況において、スピードや一貫性について完全な信頼を持つ状況には至っていないが、過去と比較すると一定の前進は見られる」と述べた。
Fortifiedによると、医療機関はストレスの大きい職種における恒常的な人材の入れ替わりに耐えられるサイバーセキュリティプログラムを設計する必要があるという。多くの医療機関はサイバーセキュリティの実践内容に関する説明や実装を経験豊富なベテラン従業員に頼っており、それらの人材が離職すると重要な知識まで一緒に失われてしまう。
レポートには次のような指摘がある。「人員配置が常に万全であることを前提に設計されたプログラムは、現実に直面したときに持ちこたえられないケースが多い。強固なプログラムは安定を前提としない。変化を前提とし、残る人材を強化し、組織としての知識を保存し、特定の個人がいなくなっても能力が失われないように計画している」
耐久性のあるプログラムの構築に加え、Fortifiedは医療機関に対し、学んだ教訓を業務に落とし込み、同じ火消しを何度も繰り返す状況を避けるとともに、重なり合う技術スタックの可視性を高めるよう促した。医療機関がサイバーセキュリティへの投資を患者ケアを損なうと捉えて、抵抗感を示すケースがあるとレポートには記されており、「セキュリティに投じる1ドルは、ベッドサイドに使われない1ドルだと見なされている」と指摘した。
(電力やガス、鉄道、空港などの)他の重要インフラ業界と同様に、医療業界にとってもシャドーAIは脅威だ(注3)。
Fortifiedはレポートの中で、AIツールの導入は医療機関が方針を策定するスピードを上回って進んでいると指摘した。しかし、技術を遮断するのではなく、従業員がいつどこでAIツールを使用しているのかを把握できる可視化の枠組みを整備しなければならない。大量または異常なデータのアップロードを検知して、情報流出を最小限に抑える安全なプロンプトの作成手法について従業員に教育を提供すべきだとも記した。同レポートによると、これを実現するためには、経営層がAIガバナンスを事業における中核的な取り組みとして位置付けなければならないようだ。
出典:Healthcare breaches double as shadow AI, vendor risks proliferate(Cybersecurity Dive)
注1:2026 Horizon Report(Fortified Health Security)
注2:Risk management, legacy tech pose major threats to healthcare firms, report finds(Cybersecurity Dive)
注3:Risky shadow AI use remains widespread(Cybersecurity Dive)
関連記事
生成AIを使ったサイバー攻撃に弱い業界はどこか
生成AIによるサイバー攻撃は認証情報を効率良く奪っているようだ。サイバーセキュリティサービスを提供する企業が121カ国を調査した結果を紹介する。
なぜ医療機関がサイバー攻撃で狙われるのか こんな弱点があった
8つの病院と40の診療所を抱える医療機関がランサムウェア攻撃を受けて、250万人分の機密データが流出した。なぜ、サイバー攻撃で医療機関が狙われるのだろうか。
病院は最も「もうかる」攻撃先 日本は米国の失敗をなぞっていないか
医療機関に対するサイバー攻撃が日本においても目立ってきた。これから事態はどう変化していくのだろうか。それを知るには医療情報の共通プラットフォーム化をほぼ完了した米国がどのような状況にあるのかが参考になる。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 見て分かる、Excel「パワーピボット」「DAX関数」初級講座 分析をラクにする方法
- 「C言語はもう言語じゃない」あるプログラマーの主張が妙に納得できる理由:867th Lap
- いまさら聞けない「Claude Code」 できることと使用感を実践レビュー
- M365 Copilot導入で起こり得る誤算 なぜ手厚いサポートが社員の「AI離れ」を招くのか
- その情報、筒抜けかも? 何もしなくても漏れるAI×チャット連携の落とし穴:868th Lap
- データ1億件が暗号化、損害17億円 「関通」を襲ったランサムウェア攻撃の教訓
- モダンExcel活用術 パワーピボットやDAX関数を使った業務自動化の最短ルート
- トレノケートがAWS認定トレーニングを国内初提供 実務に直結する集中講座
- AI活用に欠かせないデータ基盤、4割が「未整備」 コスト、人材不足以外の理由とは?
- 「年間1億枚」に埋もれる紙文化からどう脱却した? 常陽銀行「全行員AI活用」への道のり
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。