セキュリティ
臨床試験参加者のデータが盗難、製薬大手は流出記録の仮名化を説明
製薬大手ノボ ノルディスクは、サイバー攻撃の一環として臨床試験参加者に関するデータが盗まれたと発表しました。
同社によると、影響を受けた患者データは仮名化されており、氏名やその他の直接識別情報とは紐付けられていないとのことです。
体重減少薬Wegovyを製造する同社は、流出したデータの種類として、患者ID、試験参加情報、性別、生年、バイオマーカー、健康・免疫原性データ、および喫煙状況・飲酒習慣・BMIなどのライフスタイル因子が含まれると説明しています。
「この情報は、氏名やその他の直接識別情報によっていかなる患者とも直接紐付けられていません」と、ノボ ノルディスクは攻撃に関する専用ページで述べています。
「したがって患者の身元を特定するには、氏名などによる基礎情報へのアクセスが別途必要になります。この情報は流出していません。そのため今回のインシデントにより、第三者が当社の臨床試験参加者を特定できるようになるとは考えていません。」
同声明では、攻撃が「限られた数の社内ITシステム」に影響を与えたことも確認されており、予防措置として一部システムをオフラインにしたと同社は述べています。
今回の侵害による直ちなリスクはないと考えているものの、攻撃で盗まれたデータに関連する可能性のある事象については引き続き警戒するよう、患者に注意を促しています。
同社の医療パートナー(HCP)に宛てた別の書簡では、追加の個人情報が盗まれた可能性があり、標的型フィッシング攻撃につながる恐れがあると記されています。
影響を受けたHCPのデータには、氏名・登録番号、メールアドレス、電話番号、WhatsApp情報、および勤務先の場所が含まれます。
「流出したデータの性質を踏まえると、今回のインシデントによる潜在的な影響として、メール・電話・WhatsAppを通じた標的型フィッシング、または同僚を装った不正な通信などが考えられます」と、ノボ ノルディスクは書簡の中で述べています。
「予期しないメッセージや電話には警戒を怠らず、不審な動きがあれば当社へご報告いただくよう推奨します。」
同社はシステムの復旧に時間がかかる可能性があると警告しつつ、「制御された安全な方法で」復旧に取り組んでいると述べています。
その他の対応については、いずれも標準的な手順に沿ったものとなっています。外部の専門家が調査支援のために招集されており、ノボ ノルディスクは被害規模をまだ確認していません。専門家が被害を十分に評価するまでは公表しない方針です。
ノボ ノルディスクはまた、今回の攻撃はコアビジネスの運営に一切影響を与えておらず、通常通り稼働していると付け加えています。
この攻撃が発表されたのは、本来であれば同社にとって祝福すべき日のことでした。数時間前に、同社の主力薬であるセマグルチドを用いた体重減少・糖尿病治療薬が、英国初の1日1回服用型GLP-1タブレットとして承認を受けていたためです。
WegovyのピルはGLP-1受容体作動薬として承認済みの体重管理治療薬リストに新たに加わります。他の承認済み治療薬はすべて注射剤であり、ノボ ノルディスクが開発したWegovyとOzempicもその一つです。
デンマークに本社を置く同社は、80カ国でおよそ67,900人を雇用しており、世界のほぼすべての国で製品を販売しています。®
