東北大学は6月17日、4月に判明した同大学のサーバーに対する不正アクセスに関して、漏えいした可能性のある個人情報のうち、一部の対象者と連絡先が分からないために個別連絡が取れていない状況であると発表しました。これに伴い、該当者に向けて専用窓口へ申し出るよう呼び掛けています。
連絡が取れていない対象者は2つのグループに分かれています。1つ目は2003年から2013年までに東北大学病院に入院し、2013年12月31日以降は受診していない元患者で、患者番号、氏名、性別、診療科、最終受診日が漏えいした可能性があります。2つ目は2001年以降に治験分担医師を務め、2025年度末までに同大学を退職した医師で、氏名と現在は使用できないメールアドレスが該当の項目となっています。
同大学がこの不正アクセスを確認したのは4月16日のことです。攻撃者が教員のパソコンを不正利用し、学内の情報機器へアクセスしていたとされています。その後の調査により、4月23日には東北大学病院の治験業務に関する資料を保管するネットワークストレージ(NAS)への侵入も発覚し、元患者らの個人情報が漏えいした可能性が浮上しました。この事象について、同大学はすでに個人情報保護委員会、文部科学省、厚生労働省へ報告を済ませています。
被害の拡大を防ぐための予防措置として、同大学は4月24日に一部の業務システムにおけるパスワードをリセットし、学内ネットワークの一部を切り離しました。東北大学病院でも不正アクセスを受けたストレージのネットワーク接続を遮断する対応を取っています。現時点で他の医療情報システムへの影響は確認されておらず、病院は通常通り運営を継続しているとのことです。
同大学は今後の再発防止に向けて、情報機器の脆弱性への対策や、システムおよびネットワークの運用・監視体制の強化、情報セキュリティ教育の徹底などを行い、全学的なセキュリティ対策の底上げを進めるとしています。
コメント