歯科医院の情報セキュリティ対策ー事例紹介編ー

歯科医院の情報セキュリティ対策が重要な理由

歯科医院では、患者さんの氏名や住所だけでなく、診療内容、X線画像や口腔内写真など、機微な個人情報を日々扱っています。これらの情報は一度流出してしまうと、医院そのものの信用や経営にも重大な影響を及ぼします。

個人情報保護法では、小規模な歯科医院についても「個人情報取扱事業者」として情報管理責任が明確に問われる対象になっています。一人ひとりのちょっとした行動や気の緩みが、取り返しのつかない事態につながることもあります。

いまやセキュリティ対策は「大きな病院だけの問題」ではなく、すべての医療機関が日常的に取り組むべき最優先事項なのです。

 

他人事ではない医療機関での情報セキュリティ事案

医療機関において実際に発生した、情報の漏えいや不適切な取り扱いの事例をご紹介します。

・東京医科歯科大学（現在は東京科学大学）歯学部附属病院（2008年）：患者氏名、患者番号、口腔内写真などが保存されているノートパソコン2台が盗難されていることが判明した。

・日本歯科大学附属病院（2022年）：病院内のサーバがランサムウェアに感染し、電子カルテや会計システムが暗号化され、4日間にわたり新患受け入れや診療を一部停止するなどの影響がでた。

・昭和大学（現在は昭和医科大学）歯科病院（2022年）：口腔内写真や診察券番号のデータが含まれるカメラを紛失。患者氏名や連絡先などの情報は含まれていなかったが、13名分の患者情報が外部に出るリスクが生じた。

・公立置賜総合病院（2023年）：歯科口腔外科の歯科医師が、患者35,892名分の個人情報を記録したUSBメモリを紛失。内規に違反した事案であったことから、職員を対象にセキュリティ研修を実施した。

・岡山大学病院（2021年）：医師がフィッシング詐欺によってID・パスワードを窃取され、個人利用のクラウドサービスに保存していた患者情報269人分が閲覧可能な状態になっていた。

以上はいずれも不注意によって流出したものですが、残念ながら法令遵守や倫理観の欠如による意図的な事案も発生しています。

・国立病院機構京都医療センター（2022年）：外科診療科長の医師が担当患者であった会社役員に患者情報を漏えいする見返りとして、現金150万円を受け取った疑いで書類送検された。他にも診察の順番を優遇するなどの便宜をはかっていた疑いが持たれている。

・相澤病院（2023年）：退職した元職員が院内のパソコンから患者ら3,137人分の個人情報を不正に院外に持ち出したとして不正競争防止法違反の疑いで告訴された。通院患者から「元職員から他の医療機関での治療を勧められた」との申し出があり、病院側が内部調査を開始して明らかになったもの。元職員は退職後に病院を訪れ、後輩職員に「業務マニュアルが見たい」と話してパソコンからデータを記録媒体にコピーしたとみられている。持ち出された情報には、透析治療や高気圧酸素療法を受けていた患者の情報が含まれており、紹介料が目的とみられている。

・名古屋大学病院（2024年）：名古屋大学医学部の学生が4年前、大学病院での研修中に、患者2名の電子カルテを撮影してSNSに投稿していたことが判明。投稿が個人情報の漏えいにあたるとして、病院が患者と家族に謝罪した。

 

費用をかけなくてもできる情報セキュリティ対策

「セキュリティ対策＝高額なシステム導入」と思われがちですが、コストをかけずにできる基本的な対策も多くあります。IPA（情報処理推進機構）が提唱している「情報セキュリティ5か条」を参考に、を参考に、まずは身近な対策から整備を進めていきましょう。

 

第1条：OSやソフトウェアは常に最新の状態にしよう

PCやiPadなどのOSや各種アプリケーション、ウイルス対策ソフトの更新は定期的にチェックしましょう。ルータのファームウェア更新も重要です。

リース機などの場合は、更新可否についてベンダーに確認しながら対応しましょう。

第2条：ウイルス対策ソフトを導入しよう

業務上で使用する端末には、信頼できるウイルス対策ソフトを導入しましょう。
Windowsの場合は、まずは「Microsoft Defender」を使用することで、基本的なセキュリティ対策になります。（Microsoft Defenderを含めたセキュリティ設定状況は、”セキュリティ”で検索、警告がでていないかご確認ください。）

USBメモリなどの外部メディアは、ウイルス侵入や紛失リスクの観点から使用を控えることが望ましいですが、やむを得ず使用する場合にはウイルススキャンなどを徹底しましょう。

院内のネットワークには、個人用のスマホを繋がないなどのルールづくりも重要です。

第3条：パスワードを強化しよう

パスワードは、なるべく長く複雑なものにします。同一のパスワードを複数のサービスで使い回すことは避け、またパスワードを付箋などに書いてPCやデスクに貼るといった行為も厳禁です。

必要に応じて、パスワード管理ソフトの利用も検討しましょう。

第4条：共有設定を見直そう

GoogleドライブやDropboxなどでのファイル共有リンクは「リンクを知っている人なら誰でもアクセス可」にはしないことが重要です。外部の技工所や業者などとファイル共有する際はアクセス権限を明確にします。

退職者のアクセス権の削除も忘れずに行い、休眠アカウントとして放置されないように注意しましょう。

第5条：脅威や攻撃の手口を知ろう

情報セキュリティの第一歩は、「どのような手口で情報が狙われているのか」を知ることです。最近では「フィッシング詐欺」や「マルウェア」の被害が増えています。メール以外にもSMSやLINE経由で送られる不正リンクもあります。

年1回はスタッフに対して「情報セキュリティ研修」などを実施し、LINEで患者情報を送らない、送信元が怪しい場合はメールを開かないなどの基本的なルールづくりから始めましょう。

おわりに

セキュリティ対策は、「医院を守る」という防御だけでなく、患者さんとの信頼関係を守るための行動でもあります。日頃の意識と仕組みづくりが大切です。スタッフ全員が正しく情報を扱い、「ルールで縛る」のではなく「安心して働ける環境を整える」ことで、結果的に医院全体の質と信頼が高まります。

「うちは大丈夫」ではなく「うちも備えよう」の意識を持ち、できることから始めてみましょう。

「ジニー」の各種サービスについて説明などをご希望の場合は、下記よりお気軽にお問い合わせください。
https://genie-dc.com/form-contact