- ノボ ノルディスクへのサイバー攻撃により、臨床試験患者の仮名化データ(患者ID・バイオマーカー・生活習慣情報)が流出
- 直接的な個人情報は含まれず、フィッシングや成りすましへの即時リスクは低いと同社は説明
- 封じ込めのためシステムを停止し、外部専門家が調査中——中核事業への影響はなし
世界最大級の製薬企業であるノボ ノルディスクは、臨床試験患者の機密データが流出するサイバー攻撃を最近受けたことを正式に認めました。
同社は、流出したデータは仮名化されており、フィッシング詐欺などの二次攻撃には利用できないと説明しています。
今回の事案で影響を受けたのは、一部の臨床試験に参加した患者に関する「限定的な」情報であるとしています。氏名や住所といった個人を特定できる情報は含まれていなかったため、試験参加者が特定される可能性はないとノボ ノルディスクは述べています。
ネットワークの遮断対応
ノボ ノルディスクは6月11日に自社ウェブサイトで声明を公表し、「限定的な数」の社内ITシステムへの不正アクセスを最近確認したと明かしました。声明では「当該事案により、社内ITシステムに保存されていた特定の個人データへの不正アクセスが発生した」と説明しています。
攻撃者が窃取したのは、患者ID(ランダムな英数字文字列)のほか、試験参加記録、性別、生年、バイオマーカー、健康・免疫原性データ、および生活習慣情報(喫煙・飲酒状況など)です。
「流出したデータは仮名化された性質のものであり、患者の身元を特定するには事案には含まれていない別の情報へのアクセスが必要となります。そのため、今回の事案が患者の皆様に対して直接的なリスクをもたらすとは考えていません」と同社は説明しています。一方で、今後数週間は不審な事象に注意を払い、気になることがあれば報告するよう患者に呼びかけています。
ノボ ノルディスクは脅威アクターの詳細や流出した総レコード数を明らかにしていませんが、被害状況の調査のために外部のサイバーセキュリティ専門家を起用したことを強調しました。また、さらなる侵害を防ぐために一部のITシステムを停止しており、現在は安全な形での復旧作業を進めているとしています。
今回の事案により同社の中核的な事業運営への影響はなく、すべて通常どおり稼働していることが確認されています。
