人手不足な医療施設のための遠隔画像診断メディア Remorepo
人手不足な医療施設のための遠隔画像診断メディア Remorepo » 遠隔画像診断サービスの基礎知識 » 遠隔読影の導入に必要なサイバーセキュリティ対策

遠隔読影の導入に必要なサイバーセキュリティ対策

遠隔読影におけるサイバーセキュリティの懸念

外部の読影医や事業者とシステムを相互接続する「遠隔読影」の導入において、多くの医療機関が直面するのが、電子カルテや医用画像管理システム(PACS)が稼働する院内ネットワーク(院内LAN)と、外部ネットワークとの境界に生じるセキュリティホールです。

外部接続回線や通信機器(VPNルータなど)の脆弱性が、ランサムウェア等のウイルスの侵入経路になり得ることへの危機感、また万が一ウイルス感染を許した場合に、院内ネットワーク全体に被害が波及して電子カルテが使用不能になる二次感染リスクに対する不安が存在します。医療機関の実務においては、過度な適法性や堅牢性を謳うシステムを妄信するのではなく、予算と限定的な運用体制の範囲内で、想定される脅威に対する強靭性をいかにして合理的に高めるか、その具体的なアプローチを知ることが重要です。

遠隔読影で対策すべき3つのセキュリティリスク

医療画像の送信や読影レポートの受信プロセスにおいて発生し得る脅威と、それらに対抗するための一般的な技術的・組織的防衛策は、主に以下の3つに整理されます。

通信経路での盗聴や改ざんのリスク

医療機関外の読影端末やサーバーに向けて患者の個人情報や画像データ(DICOMデータ)を送信する際、通信回線のセキュリティ設定が不十分、あるいは暗号化が行われていないと、悪意ある第三者によって経路上のデータを盗聴されたり、診断結果等のレポートデータを書き換えられたりする恐れがあります。

これに対する一般的な技術的防衛策としては、ネットワーク層やアプリケーション層での暗号化技術(SSL/TLS暗号化など)を適用し、万が一データが第三者に渡った場合でも解読を困難な状態に維持することが挙げられます。また、インターネットを経由して暗号化されたトンネルを構築する「インターネットVPN」や、一般のインターネットから隔離された専用網を利用する「IP-VPN(閉域網)」を使用し、不特定多数からのアクセスを遮断したクローズドな通信環境を構成することもリスク低減に寄与します。

なりすましと不正アクセスのリスク

遠隔読影システムへのアクセスを許可するアカウントのIDやパスワードなどの認証情報が漏えいした場合、あるいは安易なパスワードが設定されていた場合、攻撃者が正規の読影医やシステム担当者になりすましてサーバーに不正侵入し、データを改ざん・商用利用したりランサムウェアを拡散させたりするリスクがあります。

この防衛策としては、パスワードといった知識情報のみに頼る認証方法を意図的に排除し、スマートフォンや物理的なICカードなどの所持情報、あるいは指紋などの生体情報を組み合わせた二要素認証(MFA)を適用することが挙げられます。さらに、接続を許可する端末のIPアドレス制限や、デジタル証明書による相互認証を導入するとともに、管理者権限を最小限に制限し、退職者のアカウントを速やかに無効化・削除する運用体制の整備が必要です。

院内ネットワークへのウイルス侵入リスク

外部と接続している遠隔読影サーバーや読影医が操作する端末がマルウェア等のウイルスに感染した際、その通信経路を経由して電子カルテシステムなどの基幹的な院内サーバーにウイルスが侵入・拡散し、病院全体の基幹情報システムが停止に追い込まれるリスクを指します。

技術的な対策としては、インターネットに接続される情報システム系統と、機微な患者情報を扱う電子カルテ等の基幹システム系統を物理的または論理的に「ネットワーク系統分離」を施し、境界部分に中継用の「中間サーバー」を設置することが基本となります。万が一外部側でトラブルが発生した場合でも、中間サーバーで攻撃をせき止め、基幹システムへの二次感染リスクを抑えることができます。

また、昨今では生成AI(ChatGPT等)の臨床現場での取り扱いにも注意が必要です。患者の個人情報やDICOMデータに含まれる診療情報を、適切な同意なく外部のクラウド生成AIに直接入力することは、守秘義務違反や個人情報保護法上のリスクを構成する可能性があります。遠隔読影システム等と生成AIを連携させる場合には、機微情報の匿名化や、契約上データの二次利用を禁止するクローズドなAPI接続環境の構築が不可欠となります。

医療機関におけるサイバー攻撃の事例と教訓

過去に国内の医療機関で発生したサイバー攻撃事例において、外部との接続口がどのように突かれたか、公的機関の報告書等から具体的なファクトを整理し、遠隔読影における教訓を明らかにする必要があります。

つるぎ町立半田病院の事例(2021年10月発生)

保守運用事業者などが外部接続(リモート接続)に使用していたVPN装置の脆弱性(修正パッチが未適用であった既知の脆弱性)を突かれ、内部ネットワークへの侵入を許した事例です。これにより電子カルテをはじめとするシステム全体がランサムウェアによって暗号化され、新規患者の受け入れ停止を余儀なくされました。通常診療の正常化までに約2か月を要し、システムの復旧やネットワーク再構築等に多額の費用が発生しています。

この事例からの教訓は、通信機器の脆弱性は攻撃者にとっての侵入口となるため、セキュリティパッチの提供やアップデートの適用状況について、ベンダー任せにせず医療機関および委託管理者が適切に脆弱性を管理することが重要であるという点です。

参照元:つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書」(https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf

大阪急性期・総合医療センターの事例(2022年10月発生)

サプライチェーン攻撃(委託業者を踏み台にした攻撃)の典型例です。給食業務を委託していた事業者がリモート保守を行うために設置していたVPN機器の脆弱性を悪用されて侵入され、攻撃者は同事業者のネットワークから病院の給食サーバーに侵入しました。さらに、同給食サーバーと病院の電子カルテサーバー等の管理者パスワードが共通に設定されていたため、基幹システム領域への不正アクセスを許し、大部分のサーバーが暗号化されるに至りました。診療機能の正常化まで73日間を要し、多額の逸失利益が見積もられています。

この事例からの教訓は、院内ネットワークへの外部接続を行うすべての事業者や委託先との間で責任分界点を厳密に取り決める必要があるという点です。また、特定のサーバーに侵入された場合に他システムへの不正アクセスを防止するため、管理者IDやパスワードを複数システムで共通化せず、別個に管理することが求められます。

参照元:地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター「情報セキュリティインシデント調査委員会報告書概要版」(https://www.gh.opho.jp/pdf/reportgaiyo_v01.pdf

岡山県精神科医療センターの事例(2024年5月発生)

外部接続点の不適切な管理や脆弱性、あるいはインターネットに公開されたポートへの攻撃が原因となり、ランサムウェアが展開された事例です。電子カルテを含む病院情報システム(HIS)が機能停止し、システム全体の再構築および高度なフォレンジック調査を余儀なくされ、診療体制に長期の影響が生じました。

この事例からは、リモートアクセスポートの厳格な制御やロックアウト設定、長いパスワード設定の適用、および外部接続ポイントの特定と定期的なセキュリティ脆弱性診断が有効であることが再評価されています。また、OS標準のセキュリティ機能の有効化など、迅速に実装可能な対策が被害を最小限に防ぐために有効である点も示されました。

参照元:地方独立行政法人 岡山県精神科医療センター「ランサムウェア事案調査報告書」(https://www.okayama-pmc.jp/wp-content/uploads/2025/02/24bb9b94f7eb10eff58b605c01c384ad.pdf

「予算」と「運用体制」に応じたシステム選定

遠隔読影を導入するにあたり、システム構成は「クラウド型」と「オンプレミス型」に大別されます。中立・公平な視点から、それぞれの特徴、セキュリティ設計の性質を整理します。

クラウド型の特徴と対策

院内に高額なサーバーを設置せず、インターネット回線等を利用して事業者のクラウド基盤(AWSや堅牢なデータセンターなど)を介してデータを処理・保管するモデルです。

クラウドサービス事業者側でセキュリティパッチや脆弱性対応、認証機能(二要素認証など)のアップデートが継続的に施されるため、院内の管理不行き届きによるセキュリティホールの発生を抑えやすいという性質があります。また、端末側に患者のDICOMデータや個人情報を残さない「シンクライアント型」の仕組みを採用していることが多く、端末の物理的な紛失・盗難による情報漏えいリスクを抑えることができます。耐震・自家発電を備えたデータセンターでの多重保管は、事業継続計画(BCP)の面でも寄与します。

ただし、通信に公衆のインターネット回線を経由するため、通信自体の確実な暗号化(HTTPS、TLS 1.2/1.3等)が施されていることや、多層的な認証機構(施設認証+利用者認証+多要素認証)が標準で提供されているかを事前に確認・選定する必要があります。専任のITシステム担当者を配置できないクリニックや中小規模の病院において、初期費用や維持に伴うシステム更新コストを抑えたいと考える機関に適しています。

オンプレミス型の特徴と対策

医療機関の内部に専用の中継サーバーやVPNルータなどのハードウェア機器を配置し、事業者と直接プライベートに暗号化通信または専用の閉域回線(IP-VPNなど)で通信するモデルです。

第三者からのアクセスを物理的・論理的に排除した通信経路(IP-VPN閉域網など)を利用するため、中間者攻撃(データの盗聴や改ざん)や通信上からの直接的な侵入を受けるリスクを低く抑え、高い機密性を保持できるのがメリットです。また、電子カルテシステム等の内部PACSと高度に連携させ、大容量画像の自動送受信や複雑なワークフローを安定して稼働させることが可能です。

一方で、院内に設置した通信アプライアンスやVPN機器のファームウェア更新、脆弱性パッチ適用の責任は原則として医療機関自身(または委託保守ベンダー)にあります。半田病院の事例のように、パッチ適用が滞ると攻撃者に脆弱性を突破される要因となるため、自院での主体的な維持管理能力、または高いレベルの保守管理体制を契約に含める必要があります。また、機器の購入や数年ごとのリプレイス更新(ハードウェア更改)費用が発生するため、長期的なコスト負担を考慮する必要があります。専任のIT部門が在籍し、厳格な自社接続ポリシーを管理できる大規模病院や地域中核病院に適しているシステム構造です。

委託先事業者を比較・検討するための指針

遠隔読影サービスを選定・比較する際、最も合理的かつ信頼のおける監査手法は、一般社団法人保健医療福祉情報システム工業会(JAHIS)および日本画像医療システム工業会(JIRA)が定めた規格に基づく「MDS/SDS(医療情報セキュリティ開示書)」、または厚生労働省標準規格の「サービス仕様適合開示書」の提出を請求することです。MDS/SDSは、2025年1月に「厚生労働省標準規格(HS040)」として正式に認定され、業界における調達・評価基準のデファクトスタンダードとなっています。

これらの仕様書を事業者から開示してもらい、以下の適合要件を満たしているかを客観的に確認することが、導入前の重要なプロセスとなります。

参照元:JAHIS「MDS_SDS Ver.5.0 Q&A集」(https://www.jahis.jp/files/user/04_JAHIS%20standard/MDS_SDS%20Ver.5.0%20Q%EF%BC%86A%E9%9B%86(%E7%AC%AC7%E7%89%88).pdf

MDS/SDS(HS040規格)による適合性確認

開示書の各質問項目が「はい」または「対象外(N/A)」になっていれば、医療機関はその事業者を通じて技術的な安全管理対策を十分に講じていると判断する材料になります。これにより、専門知識に乏しい管理担当者であっても、書類確認ベースで的確な技術確認が行えます。もし項目に「いいえ」が存在する場合、医療機関側は直ちに不適合と判断するのではなく、その理由や代替セキュリティ対策の有無を事業者に確認し、合意内容を書面化して証跡として残すことが求められます。

具体的には、将来的な二要素認証が標準として提供されているか、連続ログイン失敗時のアカウントロック機能が実装されているか、また医療機関側から事業者の接続履歴を追跡するためのアクセスログ(操作履歴など)の収集および5年間保管が可能であるかを確認します。

責任分界点の明確な取り決め(SLA)

障害発生や、万が一のサイバー攻撃によるシステム停止(インシデント)が発生した際、どの範囲をシステム事業者がカバーし、どの部分を医療機関側が責任を持つのか、その責任範囲が契約書やSLA(サービスレベル合意書)において書面化される体制が構築されているかを確認します。このプロセスは、安全管理ガイドラインに規定された真正性(改ざん防止)、見読性(速やかな表示)、保存性(消去防止)の電子保存三原則をクリアするための、技術的かつ組織的な監査エビデンスとして機能します。

まとめ:自院の体制に適したシステム検討を

遠隔読影の導入におけるサイバーセキュリティ対策は、単なる法令遵守活動ではなく、サイバー脅威から病院経営の継続性を守るための経営防衛策そのものです。遠隔読影サービスを導入する際は、単にコスト比較だけでなく、二要素認証への対応状況やMDS/SDSの開示体制、自院のITリソースに見合っているかを総合的に評価する必要があります。

初期費用や月額固定費用を抑えて手軽に運用したいクリニックや中小規模の病院にとってはクラウド型、自社データセンターによる堅牢なセキュリティやBCP対策を最優先とする中核病院にはオンプレミス・閉域網型、24時間365日のスピード対応や大量の読影体制を求める大型施設には大規模プラットフォーム型など、自院の予算と運用体制に応じて慎重に比較検討することが推奨されます。

読影の見落としを防ぐためには?
患者に正しい診断結果を届ける
読影専門メディアを見る

※外部サイトに飛びます。

PR
重要所見の見落としを防ぐ
遠隔画像診断
サービスの仕組み

重要所見を見落とす主な原因と防ぐ方法を解説しているほか、遠隔画像診断サービスにより重要所見を拾い上げられた事例を掲載しています。

重視するポイント別に見る
企業委託型の
遠隔画像診断サービス3選

一般社団法人遠隔画像診断サービス連合会(ATS)に所属する企業委託型の遠隔画像診断サービスを対象として調査を実施(※1)。遠隔画像診断サービス選びにおいて欠かせない「品質・信頼性」「セキュリティ」「対応時間」という3つのポイント別に、おすすめの遠隔画像診断サービス提供企業を紹介しています。

読影の品質
重視するなら
チェック体制と自社開発クラウドシステムで選ぶ
ワイズ・リーディング
ワイズリーディング_キャプチャ
画像引用元:ワイズ・リーディング公式サイト
(https://www.ysreading.co.jp/)

部位・スライス加算がないため
質の高い診断で人手不足を補う。
診断結果へのアフターフォローも充実。
初期・月額費用も0円。

オンプレミス
クラウド

ワイズ・リーディングの
サービス詳細を見る

ワイズ・リーディングの
サービスについて問い合わせ

セキュリティ対策
重視するなら
情報の取扱制度や保管方法で選ぶ
セコム医療システム
セコム医療システム_キャプチャ
画像引用元:セコム医療システム公式サイト
(https://medical.secom.co.jp/it/hospinet/)

保健医療分野のPマーク取得企業(※2)
東西のデータセンターにて画像を保管

オンプレミス
クラウド

セコム医療システムの
サービス詳細を見る

セコム医療システムの
サービスについて問い合わせ

画像診断の対応時間
重視するなら
読影依頼・返却スケジュールで選ぶ
ドクターネット
ドクターネット_キャプチャ
画像引用元:ドクターネット公式サイト
(https://dr-net.co.jp)

読影依頼・当日返却の要望に
24時間365日対応できる体制を構築

オンプレミス
クラウド

ドクターネットの
サービス詳細を見る

ドクターネットの
サービスについて問い合わせ

調査時期:2022年11月~12月時点/下記条件に沿って調査・選定
調査対象:一般社団法人遠隔画像診断サービス連合会(ATS)に所属する正会員55社のうち、公式HPにて遠隔画像診断サービスの詳細を確認できた27社(病院連携型を除く)

【選定条件】
(1)品質・信頼性:調査対象の中で、二次読影とレポートチェックを実施しており、登録読影医の個別情報(経験年数・資格・領域等)を唯一公開していたワイズ・リーディング
(2)セキュリティ:調査対象の中で、保健医療分野のプライバシーマーク(MEDIS)取得情報と、データセンターの多重拠点化情報(災害対策)を唯一確認できたセコム医療システム
(3)対応時間:調査対象の中で唯一、遠隔画像診断の依頼受付・当日返却を24時間・365日体制で実施している情報を確認できたドクターネット