東北大学で、第三者による不正アクセスが判明。
同大学が管理するサーバーや東北大学病院の臨床試験(治験)に関連する資料を保管していたネットワーク接続ストレージ(NAS)が影響を受けたとのこと。
これにより、治験に参加した患者の氏名や住所といった個人情報、試験の手順書などが外部に流出した可能性が浮上している。
事案の経緯によると、不正アクセスが最初に検知されたのは2026年4月16日で、教員が業務で使用していたパソコンが不正利用の起点となったことが判明している。
このパソコンを経由して学内の情報機器が不正に操作されたとみられており、4月23日には東北大学病院の治験業務資料を保管していたNASへの侵入も確認された。
現時点では不正アクセスの正確な発生時期は特定されておらず、4月16日以前から継続的に攻撃を受けていた可能性も含め、慎重に調査が進められているとのこと。
今回の不正アクセスによって影響を受けた可能性があるのは、新薬や新たな治療法の有効性と安全性を検証する臨床試験に参加した患者の情報とされている。
公表時点で具体的な流出件数や対象となる患者の範囲、詳細な被害状況については現在も精査中で、全体像の把握には至っていない。
なお、病院が運営する他の電子カルテなどの医療情報システムへの影響は確認されておらず、外来や入院などの通常診療は継続されているとのこと。
東北大学は事態の発覚後、対象となる可能性のある患者に対し個別の説明と謝罪を順次進めている。
また、不正アクセスのあったNASを院内ネットワークから切り離して通信を遮断。
パスワードのリセットやネットワークの論理的な分離などの応急措置を講じたという。
その後、個人情報保護委員会や文部科学省、厚生労働省といった所轄行政機関への報告を行い、警察や外部の専門機関と連携して原因の究明と影響範囲の特定を進めている。
なお、治験業務については安全な環境を再整備した上で継続しており、今後も調査結果についての必要であれば詳細を公表すると説明している。