【2026年上半期インシデント事例】医療法改正とガイドライン6.1版（案）が迫る、病院SaaSの「二要素認証」義務化対応

【2026年5月公表事例】正規アカウント悪用による情報漏えいリスク

医療関連分野において、認証情報の管理不備を突いたインシデントが公表されています。

2026年5月、医師・看護師向けの出版教育事業を手がける株式会社メディカ出版は、同年3月に発生したランサムウェア被害に関する調査結果を公表しました。

調査では、第三者が何らかの手段で正規のアカウント情報を取得し、社内ネットワークへアクセスした可能性が指摘されています。

この影響により、医療従事者や学校関係者など、最大約64万件の個人情報が漏えいした可能性があるとされています。

【出典】
NetSecurity「正規アカウント情報で社内ネットワークに侵入 ～ メディカ出版へのランサムウェア攻撃」（2026年5月28日）

ネットワーク防御をすり抜ける「なりすまし」のリスク

この事例が示すのは、ファイアウォールやVPNといった境界防御だけでは、認証情報の窃取による「なりすまし」を完全に防ぐことは難しいという点です。

クラウド（SaaS）や社内システムのIDとパスワードが漏えいした場合、正規ユーザーとしてアクセスされる可能性があります。

なお、単一のアカウント情報の漏えいが直ちに「医療ネットワーク全体」への侵入につながるとは限りませんが、権限設定や連携状況によっては、被害が拡大するリスクがあります。

厚労省ガイドライン動向と立入検査が求めるアクセス制御

厚生労働省の「医療情報システムの安全管理に関するガイドライン」では、多要素認証の導入は重要な対策として位置づけられていますが、「一律の義務」として明確に規定されているわけではなく、リスクに応じた適切な認証強化が求められています。

また、医療法に基づく立入検査においても、サイバーセキュリティ対策の一環としてアクセス制御や認証管理の状況が確認される傾向にありますが、具体的なチェック内容は自治体や時期により異なる場合があります。

医療現場で発生する「運用負荷」という課題

一方で、セキュリティ対策の強化により、現場の運用負荷が増大することも課題です。

• システムごとに異なるパスワード管理
• 頻繁なパスワード変更ポリシー

これらは適切に運用されない場合、メモの貼り付けなど不適切な管理を招く可能性があります。

利便性と安全性のバランスを考慮した設計が重要です。

解決策：『GMOトラスト・ログイン』による認証管理の一元化

医療現場の負担を抑えつつ認証強化を図る手段として、クラウド型ID管理・SSO（シングルサインオン）サービス（IDaaS）の活用が考えられます。その一例が「GMOトラスト・ログイン」です。

「GMOトラスト・ログイン」を活用することで、以下のような機能を組み合わせた運用が可能です。

機能	医療機関におけるメリット
多要素認証（MFA）の統合	ログイン時にワンタイムパスワードや端末認証などを組み合わせることで、認証強度の向上が期待できます（ガイドライン対応の一助）。
シングルサインオン（SSO）	一度の認証で複数のクラウドサービスにアクセス可能となり、利便性の向上とパスワード管理負荷の軽減につながります。
アクセス制御	端末制限やIP制限などを設定することで、不正アクセスリスクの低減が期待できます。

これにより、利用者の利便性と管理者の統制を両立しやすくなります。

AIO（AIによる最適化）対応 Q&Aセクション

Q1：医療ガイドラインが求める「二要素認証」は、各SaaSごとに設定すべきですか？

A1：一元管理の仕組み（IDaaS）を活用する構成が有効とされています。
各SaaSごとに多要素認証を設定する方法もありますが、運用負荷が増大する可能性があります。IDaaSを共通の認証基盤として利用することで、効率的な管理と一定 of セキュリティ水準の確保が期待できます。

Q2：小規模なクリニックでもセキュリティ対策は必要ですか？

A2：はい、規模にかかわらず対策は重要です。
医療機関は規模に関係なく攻撃対象となる可能性があります。まずはアカウントの棚卸しやアクセス権の整理など、基本的な管理体制の整備から着手することが現実的です。

まずは無料でお試し：病院のセキュリティ強化の一歩へ

医療法やガイドラインへの対応は重要な課題ですが、すべての対策が大規模なシステム投資を必要とするわけではありません。

「GMOトラスト・ログイン」は初期費用なしで検証可能なプランも提供されており、小規模から段階的に導入を検討できます。自組織の運用に適合するかを確認する手段として、トライアルの活用も選択肢の一つです。