東北大学は5月1日、同大が管理するサーバーへの不正アクセスを4月16日に確認したと発表した。続く調査で、東北大学病院の治験業務資料を保管するNAS(ネットワーク接続ストレージ)への侵入も確認され、治験に関わる患者の個人情報等が漏えいした可能性があることが4月23日に判明したという。同大は警察と外部専門機関の支援を受け、原因と影響範囲を調査している。
3行要約
何が起きた:教員のPCを起点に学内の情報機器が不正利用され、東北大学病院の治験用NASにも侵入があった。
影響:治験業務資料に含まれる患者の個人情報等が漏えいした可能性がある。件数や対象範囲は公表されていない。
対応:当該NASのネットワークを遮断し、一部業務システムのパスワードリセットと学内ネットワークの一部セグメント切り離しを実施。所轄行政機関に報告した。
わかっていること/わかっていないこと
わかっていること
4月16日にサーバーへの不正アクセスを確認。教員のPCが不正利用され、そこから他の情報機器にアクセスされたことが判明している。
4月23日、東北大学病院の治験業務資料を保管していたNASへの不正アクセスが判明。患者の個人情報等の漏えい可能性が認識された。
警察および外部専門機関と連携して調査中で、個人情報保護委員会、文部科学省、厚生労働省への報告は完了している。
不正アクセスのあったNASは現在ネットワークから切り離して通信を遮断。他の医療情報システムへの影響は現時点では確認されていないとしている。病院は通常通り運営し、治験は安全な環境を整備したうえで継続している。
わかっていないこと
不正アクセスの発生日・開始時期は公表されておらず、4月16日以前から攻撃が継続していた可能性も否定されていない。漏えいの可能性がある個人情報の件数や対象者の範囲も明らかになっていない。同大は「漏洩した可能性がある」との表現にとどめ、漏えいの確定的な事実関係は示していない。
侵入経路や攻撃手法、攻撃者像も明らかにされていない。教員のPCがどのように不正利用されたか、認証情報の窃取によるものかなどの詳細にも言及がない。
教員PC起点、学内へ拡大か
同大の説明によれば、不正アクセスは教員のPCを起点に他の情報機器へと及んだ。被害拡大を防ぐ予防措置として、4月24日に一部業務システムのパスワードリセットと学内ネットワークの一部セグメントの切り離しを行ったという。
サーバーへの不正アクセス確認から1週間後、調査の過程で東北大学病院の治験業務資料を保管するNASへの侵入が判明した。NASに保管されていた治験の対象や格納範囲は公表されていない。
病院運営は継続、治験も維持
同病院によると、NASは現在ネットワークから完全に切り離されており、電子カルテをはじめとする他の医療情報システムへの波及は確認されていない。通常診療は維持され、治験も別途安全な環境を整備したうえで継続する方針だ。
同大は患者・家族向け相談窓口として東北大学病院に専用回線(022-717-8789、平日9〜16時)を、報道向けにパブリックリレーションオフィス(090-2192-8307)を開設した。大型連休中の5月2日から6日も対応するとしている。
タイムライン
4月16日:本学管理サーバーへの不正アクセスを確認(発生日は不明)
4月23日:東北大学病院の治験業務資料を保管するNASへの不正アクセスが判明、患者個人情報の漏えい可能性を認識
4月24日:一部業務システムのパスワードリセットと学内ネットワークの一部セグメント切り離しを実施
4月下旬以降:個人情報保護委員会、文部科学省、厚生労働省へ報告
5月1日:本件を公表