En teoría, está cargando correctamente las hojas de estilo y las fuentes de un tercero, como usted dice, están incluidas en las etiquetas de enlace, que no deberían permitir la ejecución de scripts. Sin embargo, hay algunas cosas que podrían causar una fuga de información, y un potencial de ataque dirigido que podría dar lugar a cambios en los datos.
En términos de fuga de información, los navegadores envían por defecto un encabezado de referencia cuando cargan un recurso. Esto se enviará al proveedor de la fuente y, si sus enlaces están estructurados de una manera en la que está intentando usar valores desconocidos o de longitud en la URL como un método de protección, el proveedor de la fuente podría omitir eso. Sin embargo, si está realizando verificaciones de sesión, como hacen la mayoría de los sitios web con secciones autenticadas, el tercero no debería obtener los tokens de autenticación (generalmente cookies). Dado que estás trabajando en una industria sensible, espero que este no fuera el caso.
En cuanto a los datos que parecen cambiar, un proveedor de fuentes malintencionadas podría suministrar fuentes que se asignan de forma incorrecta. Imagínese si suministran íconos en una fuente, y está usando una marca o una cruz para indicar, por ejemplo, si se encontró que una muestra de sangre tenía una enfermedad específica. Al asignar el símbolo "tick" al valor "cruzado", y viceversa, un usuario final puede pensar que tiene alguna enfermedad debido a que se ve esto en la salida. Este sería un ataque muy específico, por lo que probablemente solo se aplicaría en casos muy específicos. Es poco probable que esto ocurra con Google Fonts, pero podría aplicarse si permitiera enlazar a fuentes web arbitrarias.
Tenga en cuenta que sería posible que cualquier hoja de estilo realice ataques similares; para datos confidenciales, generalmente vale la pena mantener cualquier cosa que pueda modificar el comportamiento o la apariencia de la aplicación alojada localmente, a menos que tenga requisitos específicos que lo hagan imposible.
Para datos confidenciales, le aconsejo que aloje las fuentes (y cualquier otra hoja de estilo y scripts), si es posible, solo para su tranquilidad.