医療機関における「職員による個人的な生成AI利用」とデータポリシー違反が浮き彫りに Netskope、医療業界のサイバー脅威レポート(2025年版)
サイバーセキュリティ大手のNetskopeが、医療業界を対象としたサイバーセキュリティに関する最新のレポートを発表した。生成AI利用に伴うデータポリシー違反の89%が、患者記録等の規制対象データに関連していることが判明。急速なクラウド移行と「職員による個人的な生成 AI利用」の蔓延が、医療機関のコンプライアンス維持に重大なリスクを及ぼしている実態を報告している。
規制対象データの流出リスクが全業界平均の約3倍
Netskope Threat Labsが過去13カ月にわたり観測したデータによると、医療業界における生成AIアプリケーションの利用拡大は、深刻なセキュリティ上の脆弱性を生んでいる。特筆すべきは、生成AI利用時に発生するデータポリシー違反のうち、89%が患者の記録や医療情報といった「規制対象データ(PHR/EHR等)」に関連している点だ。これは全業界平均の31%と比較して約3倍という突出した数値であり、医療従事者が利便性を優先して機密性の高い臨床データをAIプロンプトに入力、あるいはアップロードしている現状を示唆している。
また、医療機関の従業員のうち43%は依然として個人アカウントの生成AI(いわゆるシャドーAI)を業務で利用しており、組織の管理外でのデータ流出リスクが常態化している。一方で、組織が認可した生成AIアプリケーションへの移行も急速に進んでおり、認可アプリを利用する従業員の割合は18%から67%へと急増した。これは全業界平均の成長率を上回るペースであり、医療機関がガバナンスの効いたAI環境の構築を急ピッチで進めている証左と言える。
APIトラフィックが示したのはプラットフォーム依存の現状
レポートは、医療機関の内部システムがAIエージェントやクラウド基盤モデルとどのように接続されているか、APIトラフィックの観点から詳細な分析を行っている。調査の結果、医療業界組織の約3分の2(63%)においてOpenAIへのAPIトラフィックが検知されており、次いでAssemblyAI(62%)、Anthropic(36%)が続いている。
これらの数値は、臨床診断支援や管理業務、運用システムにおいて、バックエンドでのAI API連携が不可欠なインフラになりつつあることを意味する。しかし、この高い依存度は同時に、APIを介したデータ移動の監視不全が、壊滅的なデータ漏洩に直結するリスクも孕んでいる。Netskopeは、APIトラフィックの可視化と制御が、今後の医療DXにおけるセキュリティ戦略の最優先事項になると警鐘を鳴らしている。
主な攻撃手法はクラウドアプリ経由のマルウェア配布
外部からの攻撃手法においても、医療従事者が日常的に信頼して使用しているクラウドアプリケーションが悪用されるケースが目立っている。レポートによれば、マルウェア配布に最も頻繁に悪用されたアプリはAzure Static Web Apps(8.2%)、GitHub(8.0%)、Microsoft OneDrive(6.3%)であった。
特に、個人用クラウドストレージ(Google DriveやGmail、OneDriveなど)への機密データアップロードのリスクも顕在化している。個人用アプリに関連するデータポリシー違反の82%もまた法令保護データが占めており、組織はリアルタイムの警告やアップロードのブロックといった、エンドポイントレベルでの強力な制御を実装する必要がある。レポートは、利便性とセキュリティのバランスを取るために、ゼロトラストアーキテクチャに基づいた包括的なデータ保護プラットフォームの導入が不可欠であると結論づけている。