東北大、不正アクセスで連絡困難な対象者を公表
東北大学は6月17日、4月に判明した同大学のサーバーへの不正アクセスについて、漏洩した可能性のある個人情報のうち、一部で連絡先が不明なため個別連絡ができていない対象者がいると発表した。該当者には専用窓口への連絡を呼びかけている。
連絡が取れていない対象者は2グループ。1つ目は2003年から13年までに東北大学病院に入院し、13年12月31日以降に受診のない元患者で、漏洩の可能性がある情報は患者番号、氏名、性別、診療科、最終受診日。2つ目は2001年以降に研修医を務め、2025年度末までに同大学を退職した医師で、氏名とメールアドレス(現在使用不可)がそれぞれ漏洩の可能性がある項目に該当する。
不正アクセスの経緯と対応
同大学が今回の不正アクセスを確認したのは4月16日。教員のPCを攻撃者が不正利用し、学内の情報機器にアクセスしていた。さらに調査を進めた結果、4月23日には東北大学病院の診療業務に関する資料を保管するNAS(ネットワークストレージ)にも侵入があったと判明。患者などの個人情報が漏洩した可能性が浮上した。個人情報保護委員会、文部科学省、厚生労働省にはすでに報告したとしている。
—
同大学は被害拡大を防ぐ予防的措置として、4月24日に一部業務システムのパスワードをリセットし、学内ネットワークの一部を遮断した。東北大学病院においても、不正アクセスを受けたNASのネットワーク接続を遮断。他の医療情報システムへの影響は現時点で確認しておらず、病院は通常通り運営しているという。
再発防止策
再発防止に向けては、情報機器の脆弱性対策、システム・ネットワークの運用・監視の強化、情報セキュリティ教育の徹底などを通じ、全学的なセキュリティ対策の底上げを進める方針だ。
