東北大学、不正アクセスで連絡不能な対象者に申し出を呼びかけ

東北大学は6月17日、4月に明らかになった同大学サーバへの不正アクセスについて、漏えいした可能性のある個人情報のうち、一部で連絡先が不明なことから個別連絡できていない対象者がいると発表した。該当者に専用窓口への申し出を呼び掛けている。

連絡が取れていない対象は2グループ。（1）2003年から13年までに東北大学病院に入院し、13年12月31日以降受診のない元患者については、患者番号、氏名、性別、診療科、最終受診日、（2）01年以降に治験分担医師を務め、25年度末までに同大学を退職した医師については、氏名とメールアドレス（現在使用不可）が、それぞれ漏えいの可能性ある項目に該当する。

同大学が今回の不正アクセスを確認したのは4月16日。教員のPCを攻撃者が不正利用し、学内の情報機器にアクセスしていたという。さらに調査を進めた結果、4月23日には東北大学病院の治験業務に関する資料を保管するNAS（ネットワークストレージ）にも侵入があったと判明。患者などの個人情報が漏えいした可能性が浮上した。個人情報保護委員会、文部科学省、厚生労働省にはすでに報告したとしている。

同大学は被害拡大を防ぐ予防的措置として、4月24日に一部業務システムのパスワードをリセットし、学内ネットワークの一部を切り離した。東北大学病院においても、不正アクセスを受けたNASのネットワーク接続を遮断。他の医療情報システムへの影響は現時点で確認しておらず、病院は通常通り運営しているという。

再発防止に向けては、情報機器の脆弱性対策、システム・ネットワークの運用・監視の強化、情報セキュリティ教育の徹底などを通じ、全学的なセキュリティ対策の底上げを進める方針だ。