日本スマートフォンセキュリティ協会(JSSEC)が発表した「スマートフォン利用シーンに潜む脅威Top10 2026」を読んで、少し背筋が冷えました。
1位になったのは「生成AIによるフェイク動画・音声」です。家族や勤務先になりすまして送金させる、本人確認(KYC)を突破しようとする、といった使われ方が高度化しているとのこと。3位には「QRコードを用いた詐欺(クイッシング)」が新登場しています。チラシや店頭掲示、宅配物の案内、駐車場の精算機への偽装QRコードが増えているという内容でした。
これを読んでまず頭に浮かんだのは、自分のクリニックの待合室の光景です。
私のクリニックでは、問診票の記入をスムーズにするために、待合室にQRコードを掲示しています。患者さんにスマートフォンで読み取っていただき、Webフォームに入力してもらう仕組みです。導入してから受付スタッフの手間がかなり減りましたし、患者さんからも好評でした。
ただ、この記事を読んで気づいたのです。あのQRコードの上に偽装シールを貼られたら、患者さんは気づけないだろうか、と。
悪意を持った第三者が診察の合間に待合室に入り込み、貼り替えてしまう。患者さんは何も疑わずに読み取る。そのまま偽サイトに個人情報や保険証番号を入力する。そういうシナリオが、絵空事とは思えなくなってきました。
先週、妻(うちのクリニックの看護師長です)にこの話をしたところ、「そういえば待合室の掲示物、誰もチェックしてないね」と言われて改めてハッとしました。スタッフ12名のうち、受付担当は3名いますが、掲示物の確認を業務フローに組み込んだことはありませんでした。
医療機関として患者情報を扱う以上、これは看過できません。電子カルテはSS-MIX対応のシステムを使っており、データの標準化や管理には気を配ってきました。ただそちらに意識が向いていた分、アナログな入口、つまり院内の物理的な掲示物への目線が甘かったと思います。
1位の生成AIフェイク音声については、患者さんへの影響だけでなく、スタッフへの影響も考えました。
電話での問い合わせが多い診療所では、「院長の声」をAIで模倣して偽の指示を伝えるという手口が現実になりつつあります。「薬の在庫処理をすぐにしてほしい」「緊急で業者に発注してくれ」といった形で、スタッフが従ってしまうリスクがあります。
1日80人の患者さんを診ていると、スタッフも電話対応や受付業務で手いっぱいになる時間帯があります。そういう忙しい時間帯ほど、確認が甘くなる。医学的な意思決定には慎重になるのに、こういった日常業務の抜け穴を突かれることへの訓練は、正直まだ足りていません。
エビデンスという観点で言えば、セキュリティリスクは「起きてから対応する」では手遅れになるものです。感染症対策と同じで、予防のプロトコルを先に決めておく必要があります。
この3点を、来週のスタッフミーティングで提案しようと思っています。大げさに聞こえるかもしれませんが、患者さんの個人情報を守ることは医療機関としての責任です。セキュリティの話は「IT部門の仕事」ではなく、院長である自分が率先して動かなければならない領域だと、この記事を読んで改めて感じました。
ランキングを見ていくと、前回2023年に1位だった「スミッシング(SMSを利用したフィッシング)」が今回は6位に後退しています。脅威の顔ぶれは毎年変わるということです。
クリニック経営においても、一度対策を取ったからといって安心し続けることはできません。電子カルテの導入時に行ったセキュリティ整備は数年前の話です。今の脅威環境に合わせてアップデートされているかどうか、システムベンダーに確認してみるつもりです。
医療は「患者の安全」を最優先に置く職業です。その姿勢は、情報セキュリティにも同じように向けるべきだと、今回の記事に気づかせてもらいました。次回の登山の計画より先に、対策の確認を済ませておきます。
1位になったのは「生成AIによるフェイク動画・音声」です。家族や勤務先になりすまして送金させる、本人確認(KYC)を突破しようとする、といった使われ方が高度化しているとのこと。3位には「QRコードを用いた詐欺(クイッシング)」が新登場しています。チラシや店頭掲示、宅配物の案内、駐車場の精算機への偽装QRコードが増えているという内容でした。
これを読んでまず頭に浮かんだのは、自分のクリニックの待合室の光景です。
待合室のQRコードが攻撃対象になりうる
私のクリニックでは、問診票の記入をスムーズにするために、待合室にQRコードを掲示しています。患者さんにスマートフォンで読み取っていただき、Webフォームに入力してもらう仕組みです。導入してから受付スタッフの手間がかなり減りましたし、患者さんからも好評でした。
ただ、この記事を読んで気づいたのです。あのQRコードの上に偽装シールを貼られたら、患者さんは気づけないだろうか、と。
悪意を持った第三者が診察の合間に待合室に入り込み、貼り替えてしまう。患者さんは何も疑わずに読み取る。そのまま偽サイトに個人情報や保険証番号を入力する。そういうシナリオが、絵空事とは思えなくなってきました。
先週、妻(うちのクリニックの看護師長です)にこの話をしたところ、「そういえば待合室の掲示物、誰もチェックしてないね」と言われて改めてハッとしました。スタッフ12名のうち、受付担当は3名いますが、掲示物の確認を業務フローに組み込んだことはありませんでした。
医療機関として患者情報を扱う以上、これは看過できません。電子カルテはSS-MIX対応のシステムを使っており、データの標準化や管理には気を配ってきました。ただそちらに意識が向いていた分、アナログな入口、つまり院内の物理的な掲示物への目線が甘かったと思います。
生成AIなりすましの問題は、医療現場でも他人事ではない
1位の生成AIフェイク音声については、患者さんへの影響だけでなく、スタッフへの影響も考えました。
電話での問い合わせが多い診療所では、「院長の声」をAIで模倣して偽の指示を伝えるという手口が現実になりつつあります。「薬の在庫処理をすぐにしてほしい」「緊急で業者に発注してくれ」といった形で、スタッフが従ってしまうリスクがあります。
1日80人の患者さんを診ていると、スタッフも電話対応や受付業務で手いっぱいになる時間帯があります。そういう忙しい時間帯ほど、確認が甘くなる。医学的な意思決定には慎重になるのに、こういった日常業務の抜け穴を突かれることへの訓練は、正直まだ足りていません。
エビデンスという観点で言えば、セキュリティリスクは「起きてから対応する」では手遅れになるものです。感染症対策と同じで、予防のプロトコルを先に決めておく必要があります。
- 院内QRコードは週1回スタッフが目視確認する
- 電話での発注・指示変更には必ず折り返し確認を行う
- スタッフへのセキュリティ周知を年1回ではなく四半期ごとに実施する
この3点を、来週のスタッフミーティングで提案しようと思っています。大げさに聞こえるかもしれませんが、患者さんの個人情報を守ることは医療機関としての責任です。セキュリティの話は「IT部門の仕事」ではなく、院長である自分が率先して動かなければならない領域だと、この記事を読んで改めて感じました。
「安全を維持する」ことのコストを見直す時期かもしれない
ランキングを見ていくと、前回2023年に1位だった「スミッシング(SMSを利用したフィッシング)」が今回は6位に後退しています。脅威の顔ぶれは毎年変わるということです。
クリニック経営においても、一度対策を取ったからといって安心し続けることはできません。電子カルテの導入時に行ったセキュリティ整備は数年前の話です。今の脅威環境に合わせてアップデートされているかどうか、システムベンダーに確認してみるつもりです。
医療は「患者の安全」を最優先に置く職業です。その姿勢は、情報セキュリティにも同じように向けるべきだと、今回の記事に気づかせてもらいました。次回の登山の計画より先に、対策の確認を済ませておきます。