vpiネットワークと歯科医院のセキュリティ対策の要点

vpiネットワークと歯科医院のオンライン請求・セキュリティ対策

「IP-VPN接続なら患者データは絶対に安全」と思っていると、院内の無線LANから情報が丸ごと漏れます。

歯科情報

vpiネットワーク（VPN）とは：歯科医院における接続の基本

歯科医院がオンライン請求やオンライン資格確認を行うには、審査支払機関と安全につながるための専用ネットワーク回線が必要です。この接続環境が「VPI（Virtual Private Infrastructure）ネットワーク」、つまり仮想専用回線を使った閉域ネットワーク接続です。

一般的に「VPN（Virtual Private Network）」と呼ばれており、物理的な専用線を敷かなくても、通信を暗号化・仮想化することで「専用線と同等の安全性」を確保できます。歯科医院においては、レセプトデータという極めて機密性の高い患者情報を送受信するため、このVPNネットワークの正しい理解と運用が求められます。

オンライン請求システムで使用できる接続方式は、大きく2種類に分けられます。

ひとつは「IP-VPN接続方式」です。NTT東日本・西日本などの通信事業者が自社で構築した「閉域IP網」を使い、インターネットを一切経由せずに審査支払機関と接続する方式です。外部の脅威が侵入しにくい構造で、医療機関における標準的な接続として広く使われています。

もうひとつは「IPsec+IKE接続方式」です。インターネット回線を使いながら、IPsec（通信路の暗号化）とIKE（電子鍵の交換）という2つの技術を組み合わせ、IP-VPN接続と同等のセキュリティを確保します。既存のインターネット回線を活用できるため、環境によってはコスト面で有利なケースもあります。

つまり2方式が選択肢です。それぞれに特徴があるため、自院の環境や費用計画に合わせて適切な方式を選ぶことが大切です。

なお、「VPI」という略称は「Virtual Private Infrastructure」の頭文字であり、VPNと同義の文脈で使われることが多い語です。検索やメーカー資料で見かける場合、基本的にはVPN回線ネットワーク環境のことを指していると理解して問題ありません。

参考：オンライン請求のネットワーク方式について（社会保険診療報酬支払基金）
https://www.ssk.or.jp/smph/goshitsumon/online/online_07.html

vpiネットワーク導入の費用：IP-VPNとIPsec+IKEの違いと目安

オンライン請求用のVPIネットワークを導入する際、費用は「初期費用」と「月額ランニングコスト」の2段構えで発生します。知っておかないと、見積もりを受けたときに「思ったより高い」と感じることになります。

社会保険診療報酬支払基金が公開している費用目安によると、初期費用の内訳はおおよそ以下のとおりです。

項目	目安金額	備考
オンライン請求用パソコン	約100,000円	既存PCが動作要件を満たす場合は不要
電子媒体読込用ドライブ	約10,000円	CD-R/FD標準装備のPCは不要
電子証明書発行料	1,500円（1枚）	別途郵送料753円が発生
ネットワーク回線初期費用	約23,000〜28,000円	事業者により異なる
合計（目安）	約134,500〜148,000円	パソコン流用時は約35,000〜48,000円

月額費用については、接続方式によって異なります。IP-VPN接続方式の場合は月額約6,000円が目安です。この金額は、東京都内を月1回往復する新幹線代より少し安い程度の感覚です。IPsec+IKE接続方式は、既存のプロバイダ料金に加えてIPsecサービス提供料が月額約1,800〜6,000円上乗せになります。

費用面で見落とされがちなのが、オンライン資格確認との兼用です。オンライン資格確認とオンライン請求を同じ端末・同じ回線で運用する場合、電子証明書の追加発行が不要になり、初期費用をかなり抑えられます。これは条件を満たすなら積極的に活用すべき選択肢です。

また、IPsec+IKE方式を選ぶ場合は、ISPプロバイダとの契約に加えて「IPsec+IKEサービス提供事業者」と別途契約が必要な点も覚えておく必要があります。NTTPCコミュニケーションズや三菱電機インフォメーションネットワーク（MIND）などが対応事業者として登録されています。どの事業者を選ぶかで月額コストが変わるため、複数社に見積もりを取ることが条件です。

参考：オンライン請求の費用に関するQ&A（社会保険診療報酬支払基金）
https://www.ssk.or.jp/smph/goshitsumon/online/online_04.html

vpiネットワーク接続の手順：オンライン請求を始めるまでのステップ

VPIネットワークを整備してオンライン請求を開始するには、機器・回線・申請の3つを同時並行で進める必要があります。手順を正確に把握していないと、開院後すぐに請求できないという事態が起きます。

厚生労働省が公開している手順書によると、大きく以下の4つのステップに整理されています。

• 🖥️ ステップ1：システムの準備　オンライン請求に対応したレセプトコンピュータ（レセコン）の確認・導入。利用予定のIP-VPNまたはIPsec+IKE回線事業者に見積もりを依頼する。
• 📋 ステップ2：審査支払機関への申請　「保険医療機関届」「オンライン請求利用申請」「電子証明書発行申請」の3つを提出する。申請は医療機関等向け総合ポータルサイトからオンラインで可能。
• 🔧 ステップ3：設定・疎通確認　支払基金から届く設定ツールを使い、電子証明書をインストール。ネットワークへの接続確認（導通試験）を実施する。
• ✅ ステップ4：運用開始　設定完了の翌月からオンライン請求が可能になる。スタッフへの操作手順の周知も必須。

注意が必要なのは、申請から設定ツールが届くまで「1か月程度」かかる点です。開院直後にすぐ請求を開始したい場合、指定前月の中旬以降にはすでに申請を済ませておく必要があります。スケジュールが1ヶ月単位でずれることになるため、余裕をもった準備が原則です。

また、「無線LANでオンライン請求用パソコンを接続しても問題ないか？」という質問も多く寄せられますが、支払基金の公式Q&Aによると「利用者の責任において利用可能、ただし暗号化などの対策が必須」という回答です。つまり無線LANの使用は禁止ではありませんが、セキュリティ対策が不十分な場合は利用者責任になります。

参考：厚生労働省「オンライン請求開始に向けて 必要な準備作業について」
https://www.mhlw.go.jp/content/12400000/001239087.pdf

vpiネットワーク整備後も見落としがちな院内セキュリティのリスク

VPIネットワーク（IP-VPN）を導入して「安全な回線を使っているから大丈夫」と判断するのは、実は大きな落とし穴です。院内ネットワーク全体を守れていないと、回線側だけ安全にしても意味がありません。

まず知っておきたい事実として、情報漏洩の原因の約75%は「紛失・置き忘れ」や「誤操作」などのヒューマンエラーによるものです。不正アクセスや盗難などの外部犯罪行為は全体の約20%程度にとどまっています（日本ネットワークセキュリティ協会の調査より）。これは意外ですね。

つまり、サイバー攻撃よりもスタッフのうっかりミスの方がはるかに多い漏洩源です。USBメモリへの患者データの書き出し、誤ったメール送信、パスワードの共有といった日常業務の中のリスクが、VPN接続を無力化させます。

次に、院内無線LANの問題があります。歯科医院内で患者向けフリーWi-Fiと業務端末のネットワークが分離されていない場合、フリーWi-Fi経由で院内ネットワークに侵入されるリスクが発生します。VPNの「外からは入れない」というセキュリティは、院内の内側から発生する問題には効果がありません。

近年では、VPN機器自体の脆弱性を狙った医療機関へのサイバー攻撃が急増しています。厚生労働省も「VPN装置等のID・パスワードの漏洩はシステムへの侵入に直結し、医療機関等にとって重大なリスク」と明示しています。VPN機器のファームウェアのアップデートを怠ると、その脆弱性がランサムウェア感染の入口になります。

こうしたリスクへの対応として、「医療情報システムの安全管理に関するガイドライン（第6.0版）」は、歯科医院を含むすべての医療機関が参照すべき基準として厚生労働省が整備しています。院内LANのセグメント分離（患者用と業務用を別ネットワークにする）、VLANの活用、UTM（統合脅威管理機器）の導入などが具体策として挙げられます。

参考：歯科医院における個人情報漏洩リスクと対策
https://legal-conference.com/personal-information

vpiネットワーク運用と個人情報保護法：歯科医院が知るべき法的責任

VPIネットワークを整備したとしても、患者情報が外部に漏洩した場合の法的責任は歯科医院側が負います。この点を正確に理解していない歯科従事者は、まだ多くいます。

歯科医院の「個人情報」とは、診療録、処方せん、X線写真、歯科衛生士業務記録、歯科技工指示書など、紙媒体・電子媒体を問わずすべての患者記録が対象になります。これらは個人情報保護法上の「要配慮個人情報」に分類され、通常の個人情報よりも厳重な保護が求められます。

万が一漏洩が発生した場合に問われる責任は以下のとおりです。

• 💸 民事上の損害賠償責任　過去の判例では、住所・氏名・生年月日の流出で1人あたり1万円、センシティブな身体情報の流出で1人あたり3万5,000円の賠償が認められた例があります。患者数が多い歯科医院では、合計賠償額が数百万円に達することも現実的なリスクです。
• ⚖️ 刑事罰のリスク　業務上知り得た秘密を故意に漏洩した場合は「秘密漏洩罪」（6ヵ月以下の懲役または10万円以下の罰金）、不正な利益を目的とした第三者への情報提供は「個人情報保護法違反」（6ヵ月以下の懲役または30万円以下の罰金）が適用されます。
• 📢 報告・通知義務　2022年の個人情報保護法改正により、一定規模以上の個人データ漏洩が発生した場合は個人情報保護委員会への報告と本人への通知が義務化されています。

また、海外（米国）の事例ですが、歯科医療グループがランサムウェア被害を2年間隠蔽した結果、35万ドル（約5,250万円）の罰金を科されたケースがあります（Westend Dental、2025年1月）。日本においても今後、違反に対するペナルティが厳格化されていく方向にあるため、対岸の火事ではありません。

スタッフが漏洩を引き起こした場合でも、雇用主である歯科医師（経営者）が使用者責任を負う点は特に重要です。「スタッフが勝手にやった」では法的責任は免れません。個人情報管理規定の制定と具体的なスタッフ教育の実施が、院長の義務として求められます。

参考：歯科医院における個人情報の取り扱いと法的責任
https://main.sr-konishi.jp/shika/shika-kojinjyouhou

vpiネットワークを活かす歯科医院のセキュリティ強化：独自視点の実践策

「VPN導入＝セキュリティ完了」と考えている歯科医院が多い一方、実際にインシデントが多発しているのは「院内環境の整備不足」が原因です。ここでは、検索上位の記事ではあまり取り上げられていない、歯科医院に特化した実践的なポイントを紹介します。

まず注目すべきは「レセコンの共用問題」です。厚生労働省はオンライン請求用端末を専用端末として用意することを推奨しています。しかし、現実には「レセコンをそのままオンライン請求に使いたい」という医院も多く、兼用は一定条件のもと認められています。問題は、既存のインターネット接続端末（ネット検索や動画視聴に使うPC）をオンライン請求に転用することです。このようなPCは「悪意あるソフトウェアにさらされている状態」と厚生労働省の資料でも明記されており、ウイルス感染リスクが格段に高くなります。実際に院内でのランサムウェア感染事例の多くは、この「業務外使用PCからの侵入」が入口になっています。

次に、「訪問歯科とモバイル接続のリスク」についてです。訪問診療を行う歯科医師がタブレットや外部端末で患者情報を扱う場面が増えていますが、カフェや施設の公衆Wi-Fiで患者データにアクセスするのは非常に危険な行為です。訪問診療でモバイル端末を使用する際は、院内のVPN環境へのリモートアクセスを「二要素認証つきのVPN」で実施することが、医療情報安全管理ガイドラインで求められる水準です。

また、「閉域網神話の盲点」も理解しておく必要があります。IP-VPNの閉域網は外部からの侵入に強い反面、院内に持ち込まれたUSBメモリや外部端末がマルウェアに感染していた場合、その脅威は閉域網の内部に直接入り込みます。外部からは鉄壁でも、内側から開けてしまえば意味がありません。USBポートの物理的な制限、持ち込み端末のルール策定が追加対策として必須です。

これらのリスクを院内全体でカバーするための具体的な対策として、「UTM（統合脅威管理）機器」の導入が現実的な選択肢です。UTMはファイアウォール、ウイルス対策、不正侵入検知などを一体化した機器で、歯科医院規模（スタッフ5〜10名程度）でも月額1万〜3万円程度のクラウド型UTMサービスで導入できるものが増えています。VPIネットワークの整備と並行して、院内ネットワークのセキュリティをワンランク上げる手段として検討する価値があります。

参考：歯科医院のサイバーリスクへの備えについて（玉井歯科商店）
https://www.tamadent.com/tamainews/tamainews-3209/