2026年5月1日、国立大学法人東北大学(宮城県仙台市)および東北大学病院は、4月16日に大学が管理するサーバーへの不正アクセスが確認され、その調査過程で東北大学病院の治験業務に関する資料を保管していたNAS(ネットワークストレージ)にも不正アクセスがあり、患者の個人情報が漏洩した可能性があることが判明したとして公式に公表しました。
現在、警察および外部専門機関と連携して原因と影響の詳細を調査中です。現時点で具体的な情報漏洩の被害は確認されていませんが、漏洩した可能性のある情報の規模が把握できておらず、対象となる患者への順次説明と謝罪が行われています。
目次
この記事のサマリー
- 2026年4月16日、東北大学が管理するサーバーへの不正アクセスを確認。調査を進めたところ、4月23日に東北大学病院の治験業務のNASにも不正アクセスがあり、患者の個人情報が漏洩した可能性が判明しました。
- 攻撃の経路:教員のPCが不正利用され、そのPCを踏み台として治験業務用のNAS(ネットワークストレージ)にアクセスされたとみられています。**「教員PC侵害→NASへの横移動」**という2段階の侵害構造が確認されています。
- 漏洩した可能性のある情報は、治験に参加した患者の氏名・住所といった個人情報および治験の手順書等の資料です。現時点で漏洩件数・規模は特定できていません。
- 個人情報保護委員会・文部科学省・厚生労働省への報告は完了しています。
- 4月24日に、被害拡大防止策として一部業務システムのパスワードリセットおよび学内ネットワークの一部セグメントの切り離しを実施しました。NASは現在ネットワークから切り離しています。
- 他の医療情報システムへの影響は現時点で確認されておらず、病院は通常通り運営しています。治験も安全な環境を整備して実施しています。
- 2025年12月の不正アクセス事案(教員2名・学生2名のID不正利用)から約5か月での再発となっており、再発防止策の実効性が問われます。
事案の経緯
| 日付 | 内容 |
|---|---|
| 2026年4月16日 | 東北大学が管理するサーバーへの不正アクセスを確認。警察・外部専門機関と連携し調査開始 |
| 2026年4月23日 | 調査の結果、東北大学病院の治験業務NASへの不正アクセスも判明。患者の個人情報が漏洩した可能性を確認 |
| 2026年4月24日 | 被害拡大防止策として、一部業務システムのパスワードリセットおよび学内ネットワークの一部セグメントの切り離しを実施 |
| 2026年5月1日 | 東北大学・東北大学病院が公式発表。個人情報保護委員会・文部科学省・厚生労働省への報告完了 |
| 継続中 | 詳細な調査継続・対象患者への順次説明と謝罪 |
攻撃の構造
今回の事案の技術的な特徴は「教員PCの侵害を起点としてNASへ横移動」という2段階での横展開でしたです。
まず攻撃者は何らかの手段(フィッシング・マルウェア・認証情報の窃取等)で教員のPCへの不正利用(不正アクセス)に成功しました。その後、教員のPCに保存されていた認証情報や、教員がアクセス権を持つネットワーク上の経路を利用して、治験業務用のNAS(ネットワークストレージ)への横移動(ラテラルムーブメント)を行ったとみられます。
このパターンは「エンドポイントから内部ネットワークへ」という現代のサイバー攻撃の典型的な手法です。教員の端末が侵害されたことで、その端末から見えるネットワーク範囲内のリソース(今回はNAS)がそのまま攻撃者の射程に入ってしまいました。
なぜ「治験データ」の漏洩は特に深刻なのか
治験は、新薬や医療機器の承認取得を目的として患者さんに参加を求める臨床研究です。患者さんは治験への参加に際して個人情報の提供に同意していますが、その同意はあくまで治験の実施目的の範囲内での利用に限定されています。
治験データには氏名・住所・生年月日といった基本情報に加え、疾患名・症状・投薬歴・検査結果等の高感度な医療情報が含まれる場合があります。これらが漏洩した場合、患者さんのプライバシーの侵害はもちろん、医薬品企業の知的財産(試験プロトコル・手順書)の流出という問題も発生します。
治験データは薬機法・GCP(医薬品の臨床試験の実施の基準に関する省令)のもとで厳格な管理が求められており、今回の漏洩は単なる個人情報保護法の問題にとどまらず、厚生労働省への報告義務を伴う重大事案として扱われています。
東北大学における不正アクセスの繰り返し——2025年12月に続いて2度目
今回の事案は東北大学における近年の不正アクセス事案の中でも特に注目すべきものです。
東北大学では2025年12月9日にも教員2名・学生2名の計4名の東北大IDが不正利用され情報機器へのアクセスが確認されたと、同年12月26日に公表しています。今回の4月16日の事案はこれから約5か月後に発生しており、同様の「教員等のID・PCを起点とした不正アクセス」というパターンが繰り返されています。
対象患者・関係者の対応
対象となる患者さんには東北大学病院が順次説明と謝罪のご連絡を実施しています。相談・問い合わせは以下の窓口まで。
患者さん・ご家族からのご相談・お問い合わせ:東北大学病院(専用窓口)TEL:022-717-8789(月曜〜金曜 9:00〜16:00、5/2〜5/6も対応)
情シス・医療機関のセキュリティ担当者へのポイント
本件が示す「エンドポイント侵害→NAS横移動」という構造は、大学・医療機関での情報セキュリティ対策の典型的な死角を突いたものです。
エンドポイントの侵害を「内部ネットワークへの侵入口」と捉えること、つまりエンドポイントとネットワーク内部リソース(NAS・ファイルサーバ等)のアクセス権限の分離が重要です。教員のPCから治験データNASへ直接アクセスできる構成は、侵害されたPCが即座にNASへの攻撃拠点になるリスクをはらんでいます。
NASへのアクセス制御の厳格化として、機密性の高いデータ(治験データ・患者情報等)を保管するNASへのアクセスは、必要最小限のアカウント・端末のみに制限し、アクセスログを定期的に監視する体制が必要です。VPN・多要素認証(MFA)の組み合わせも有効です。
エンドポイント検知・対応(EDR)の導入・活用として、教員PCが侵害された段階での検知・隔離ができていれば、NASへの横移動を防止できた可能性があります。EDRによる異常なプロセス・ネットワーク接続の検知が重要です。
参考情報
- 本学への不正アクセスについてのご報告とお詫び(東北大学、2026年5月1日)
- 本学への不正アクセスについてのご報告とお詫び(東北大学病院、2026年5月1日)
- 患者・ご家族のお問い合わせ:東北大学病院 専用窓口 TEL:022-717-8789(月〜金 9:00〜16:00)
- メディアのお問い合わせ:東北大学パブリックリレーションオフィス TEL:090-2192-8307
- 【関連記事】不正アクセスとは——定義・件数・手口・目的・防止策を専門家が解説【2026年最新】
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ
関連記事
山形市委託のYCC情報システム、ランサムウェア攻撃で約50万件・マイナンバーを含む個人情報が漏洩の恐れ-9組織以上に波及した攻撃の起点【2026年4月】
メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模
マネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性
サンリオ、常務取締役の不適切報酬で2026年3月期決算発表を延期
イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ
消費者金融のキャネット、不正アクセスによるサイバー攻撃で9,987名分の個人情報漏洩の恐れ-二次被害も確認
東北大学、学内サーバーへの不正アクセスを公表
YCC情報システムへのランサムウェアによるサイバー攻撃のまとめ-被害組織・漏洩件数を随時更新【2026年4月】
芝浦工業大学、不正アクセスで学生の個人情報漏洩の可能性
