「雰囲気」でAI開発した医療システムが個人情報を大放出…2026年に起きたVibe Codingの戦慄

📰 ニュース概要

• 医療従事者がAIエージェントを使用し、独自の患者管理システムを自作して運用を開始した。
• 第三者の調査により、全患者データが未暗号化のままインターネット上に完全露出していたことが発覚。
• 診察時の音声記録が患者の同意なく、複数の外部AIサービスへ自動要約のために送信されていた。

💡 重要なポイント

• アプリの実態は単一のHTMLファイル（インラインJS/CSS）であり、認証ロジックがクライアント側にのみ存在していた。
• バックエンドのデータベースにはアクセス制御や行レベルセキュリティ（RLS）が一切設定されていなかった。
• 米国サーバーへのデータ保管やDPA（データ処理合意）の欠如など、法的・倫理的境界線を大きく踏み越えていた。

🦈 サメの眼（キュレーターの視点）

AIエージェントに「それっぽいもの」を作らせるだけなら誰でもできるようになったが、その裏側がスカスカなのが「Vibe Coding」の最恐の落とし穴だサメ！ この事例では、なんと認証ロジックがJavaScriptでクライアント側に書いてあるだけという、20世紀にタイムスリップしたような致命的実装になっていたんだサメ。バックエンドのDBにアクセス制御がないから、curlコマンド一発で全データが抜ける状態…まさにデジタル版の「鍵のない金庫」だサメ。 「動いているからOK」というバイブスだけで医療データという機密情報を扱った罪は重い。AIはコードを書けるが、安全なアーキテクチャの責任までは取ってくれないことを痛感させる事件だサメ！

🚀 これからどうなる？

「誰でも開発者になれる」時代の副作用として、セキュリティ監査の自動化やAI生成コードのガバナンスが極めて重要になる。法的知識やインフラの基礎を欠いたままの「バイブス開発」は、今後さらに大きな法的・社会的制裁を招くリスクが高い。

💬 はるサメ視点の一言

バイブスだけで泳ぐのは危険だサメ！しっかり「構造」を理解して、安全な海を泳ぐサメよ！🦈🌊

📚 用語解説

• Vibe Coding: 技術的な詳細やアーキテクチャを理解せず、AIへの指示と「ノリ（バイブス）」だけでソフトウェアを構築する手法。

• nDSG: スイスの新連邦データ保護法。個人のプライバシー保護を強化するための厳格な規制。

• 行レベルセキュリティ (RLS): データベースにおいて、ユーザーごとにアクセスできるデータ行を制限し、不正なデータ取得を防ぐセキュリティ機能。

• 情報元: An AI Vibe Coding Horror Story