サノフィが不正アクセスで約73万人の個人情報漏洩の可能性
2024年8月28日 仏大手製薬企業サノフィ株式会社が海外の業務委託コンサルタントの私用PCへ不正アクセスが発生し、約73万人の個人情報が漏洩した可能性を発表しました。
不正アクセスの概要
2024年7月10日 海外の業務委託コンサルタントの個人ノートパソコンにマルウェアが感染。
このコンサルタントは、サノフィの IT セキュリティポリシーに違反して、個人用ノートパソコンにサノフィのデータベース(以下、本データベース)へのアクセス ID 等を保存されていた。
サノフィのデータベースに不正アクセスが発生
2024 年 7 月 10 日から 14 日にかけて、悪意のある外部第三者が本データベースの一部にアクセスしたことが判明しました。不正アクセスされた情報には、日本の医療関係者及び社員の情報が含まれていました。
不正アクセスされ漏洩した可能性のある個人情報
医療従事者 733,820 人分 の以下情報
・氏名
・性別
・生年月日
・メールアドレス
・医療機関名
・医療機関住所
・役職(院長、教授等)
・職種(医師、コメディカル等)
・診療科(内科、外科等)
メールアドレスが不正アクセスの対象となった方にはメールで連絡済み
不正アクセスの原因
このコンサルタントは、サノフィの IT セキュリティポリシーに違反して、
・無許可で個人用ノートパソコンを利用
・個人用のノートパソコンに無許可でサノフィのデータベース(以下、本データベース)へのアクセス ID 等を保存されていた。
現在は2次被害は確認されていないとのこと
引用
シャドーITの危険性
本セキュリティインシデントと同様に、会社に無許可でパソコンやスマホで会社の業務システムやデータベースへアクセスしたり、許可されていないアプリやツールを利用する事はシャドーITと呼ばれ
セキュリティインシデントの原因となっています。
最近では近畿大学の非常勤医師が無許可で自身のパソコンに研究データを保存していたところ、サポート詐欺に騙されパソコンを遠隔操作され、保存していたデータが漏洩したインシデントも存在します。