ノボノルディスクが不正アクセスで臨床試験患者情報の流出の恐れ-日本への影響は不明|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月16日更新日時: 2026年06月16日

デンマークの製薬大手ノボノルディスク（Novo Nordisk A/S、本社：バグスベア）は2026年6月11日17時30分（中央ヨーロッパ夏時間）、公式インシデントアップデートページおよびプレスリリースを通じて、社内ITシステムへの不正アクセスを伴うセキュリティインシデントを公表しまし。

このインシデントでは臨床試験に参加している患者の個人データを含む情報が、無断で外部へコピーされたことが確認されています。

漏洩が確認されたデータは「仮名化（pseudonymized）」されており、患者の氏名や直接識別情報は含まれていません。

仮名化とは患者に固有のランダムIDを用い、氏名等の直接識別情報を切り離した状態での管理を指します。ただし漏洩したデータにはバイオマーカー・健康データ（免疫原性）・ライフスタイル情報（喫煙・飲酒・BMI）などの医療的に高感度な情報が含まれており、医療従事者（HCP）向けに別途送付されたレターには、追加の個人情報が盗まれた可能性があり、標的型攻撃メールにつながる恐れがあるとと記載されています。

攻撃の発生日・影響を受けた患者の正確な人数・攻撃の手法については、公表時点では明らかにされていません（BleepingComputer確認）。ノボノルディスクは世界最大のインスリン供給企業であり、肥満治療薬Wegovy・Ozempicのメーカーとして知られ、6月7日にはWegovy錠剤の処方件数が300万件を超えたばかりでした。

サマリー

公表日：2026年6月11日17:30（CEST）
インシデントの性質：社内ITシステムへの不正アクセス。臨床試験患者データが外部へ無断でコピー（Reutersが確認した表現）
漏洩した可能性があるデータ（仮名化済み・直接識別情報なし）：
- 患者ID（ランダムな英数字文字列）・試験参加情報
- 性別・生年
- バイオマーカー
- 健康データ・免疫原性データ
- ライフスタイル情報（喫煙・飲酒・BMI）
含まれていない情報：患者の氏名・その他の直接識別情報
リスク評価（Novo Nordisk公式）：仮名化データのみのため第三者による患者特定は困難。即時的なリスクはないと判断
HCP（医療従事者）向け警告（The Register）：追加の個人情報が盗まれた可能性と標的型フィッシング攻撃のリスクを別途レターで通知
影響患者数・攻撃日・攻撃手法：未開示（BleepingComputer確認）
対応：外部サイバーセキュリティ専門家による調査を開始。一部内部ITシステムを一時的にオフライン化。関係当局と連絡中
事業影響：コア事業（製造・サプライチェーン等）への影響なし
お問い合わせ：[email protected]

1 ノボノルディスクとはどのような企業か
2 漏洩データの詳細—「仮名化」は何をどこまで守るのか
- 2.1 仮名化（Pseudonymization）の仕組み
- 2.2 それでも「臨床試験データ」の流出は重大
3 現在判明していることと不明な点
- 3.1 確認されている事実
- 3.2 未開示の事項（2026年6月13日時点）
4 製薬業界のサイバー攻撃の文脈
5 日本への影響は不明
6 参考情報

ノボノルディスクとはどのような企業か

ノボノルディスクは1923年設立のデンマークの製薬企業で、インスリン製剤の世界最大の供給者です。近年ではGLP-1受容体作動薬Wegovy（ウゴービ）およびOzempic（オゼンピック）による肥満・糖尿病治療薬市場で圧倒的な地位を確立しており、市場価値は世界最大規模の製薬企業の一つです。日本では「ノボノルディスクファーマ株式会社」として事業を展開しています。

今回の事案は、6月7日にWegovyの錠剤処方件数が300万件を超えたと発表したわずか数日後に起きたものであり、企業としても最も注目を集めている時期の重大インシデントとなりました。

製薬企業は以下の理由からサイバー攻撃の標的として頻繁に狙われています（Computing誌確認）。

高価値の知的財産（IP）：新薬開発データ・特許前の化合物情報
臨床試験データ：高額で取引される機密情報
患者の個人情報：ダークウェブでの売買価値が高い

漏洩データの詳細—「仮名化」は何をどこまで守るのか

仮名化（Pseudonymization）の仕組み

ノボノルディスクが「仮名化済み」と説明するデータは、GDPR（欧州一般データ保護規則）における重要なプライバシー保護措置です。

仮名化とは、患者の氏名・住所・生年月日などの直接識別情報を取り除き、ランダムな英数字の「患者ID」に置き換えて管理する手法です。漏洩したデータには患者IDが含まれますが、この患者IDと実際の患者氏名を対応付けるマッピングテーブルは別途管理されており、今回の事案ではこのマッピング情報は漏洩していないとノボノルディスクは主張しています。

このため「第三者が漏洩データだけで臨床試験参加者を特定することは困難」という評価に至っています。

それでも「臨床試験データ」の流出は重大

一方で、仮名化は「完全な匿名化」ではありません。漏洩データに含まれるバイオマーカー・性別・生年・免疫原性データ・ライフスタイル情報（喫煙・飲酒・BMI）は、医療的に非常に高感度な情報です。

特に注目すべきはHCP（医療従事者）向けレターに記載された内容です。The Registerが報じた通り、医療従事者に送付された別のレターには「追加の個人情報が盗まれた可能性があり、標的型フィッシング攻撃につながる恐れがある」と記載されており、患者向けの公式声明よりも詳細なリスクが言及されています。

また、世界中の規制当局・研究機関・競合他社にとって、臨床試験データ自体（どの試験を実施しているか・試験設計・バイオマーカーの選定基準等）は極めて高価値な知的財産でもあります。

現在判明していることと不明な点

確認されている事実

データは外部へ無断でコピーされた（Reutersが “copied externally without authorization” と確認）
対象：「一部の臨床試験に参加している患者の限定的な情報」（試験名は非開示）
含まれるデータカテゴリ：患者ID・試験参加情報・性別・生年・バイオマーカー・健康データ・免疫原性データ・ライフスタイル情報
含まれないデータ：患者の氏名・直接識別情報
HCP向けには追加漏洩の可能性とフィッシングリスクを警告済み（The Register）
対応状況：外部専門家による調査中・一部システムオフライン・関係当局と連絡中

未開示の事項（2026年6月13日時点）

影響を受けた患者の正確な人数
攻撃が発生した日時
攻撃の具体的な手法（ランサムウェアか否か・国家支援型か金銭目的か等）
影響を受けた臨床試験の種類・疾患領域（糖尿病・肥満・その他）
GDPRに基づく規制当局（デンマークデータ保護庁等）への報告状況と今後の制裁の可能性
日本国内の臨床試験データへの影響の有無

製薬業界のサイバー攻撃の文脈

今回のノボノルディスクの事案は孤立したものではありません。Fierce Pharmaが指摘するように「製薬企業へのデータ侵害はある程度常態化している」状況があります。直近の事例として、西製薬サービス（West Pharmaceutical Services）も先月サイバーセキュリティインシデントを報告しています。

医療・製薬分野を狙うサイバー攻撃の特徴として以下が知られています。

知的財産の高市場価値：未承認新薬の臨床試験データは、競合企業・国家支援アクター・金融犯罪グループのいずれにとっても高価値であり、ダークウェブでの売買・産業スパイ活動の対象となります。特にGLP-1受容体作動薬（Wegovy・Ozempic等）は世界的な注目を集めており、競合他社にとってのスパイ価値は極めて高いと評価されます。

患者データの二次利用リスク：仮名化データであっても、別の流出データベース（氏名リスト・生年月日・住所等）と統計的に組み合わせる「再識別攻撃（Re-identification attack）」によって個人特定が可能になる場合があります。

標的型スピアフィッシングへの悪用：HCP向けレターが示唆するように、試験参加情報を知ることで「あなたの○○試験の参加に関して」という高度に個人化されたフィッシングメールの作成が可能になります。