東北大学は2026年6月17日、公式サイトの不正アクセスに関する報告ページを更新し、4月の不正アクセスに関する重要な追記を公表しました。当サイトが既報した通り、本件は2026年4月16日に大学が管理するサーバーへの不正アクセスが確認され、教員のPCが不正利用された後、その端末を踏み台として東北大学病院の治験業務関連資料を保管するNAS(ネットワークストレージ)にも不正アクセスがあり、患者の個人情報等が漏洩した可能性があることが4月23日に判明していたものです。
今回の6月17日追記では、漏洩のおそれがある対象者の具体的なカテゴリーと情報項目が初めて明らかにされました。対象は2003年から2013年までの間に入院し2013年12月31日以降は受診のない患者(患者番号・氏名・性別・診療科・最終受診日)と、2001年以降に治験分担医師であり2025年度末までに東北大学を退職した方(氏名・現在使用できないメールアドレス)の2区分です。連絡先が不明で個別連絡ができていない対象者に向けて、大学は専用窓口での相談を呼びかけています。また現時点で本件による二次被害は確認されておらず、不正アクセスを受けた当該NASは既に廃止されたことも明らかにされました。本記事では追記された新情報を中心に、事案の経緯と対応状況を整理して解説します。
サマリー
- 追記日:2026年6月17日15:00
- 発表元:東北大学
- 元の掲載日:2026年5月1日(その後6月17日に追記更新)
- 事案の経緯(既報):
- 2026年4月16日:大学管理サーバーへの不正アクセスを確認
- 2026年4月23日:教員PCを踏み台とした東北大学病院治験業務用NASへの不正アクセスが判明。患者の個人情報等の漏洩可能性が発覚
- 2026年4月24日:被害拡大防止のため、一部業務システムのパスワードリセット・学内ネットワーク一部セグメントの切り離しを実施
- 【6月17日追記・新情報】漏洩のおそれがある対象者の詳細:
| 対象者カテゴリー | 該当条件 | 漏洩した可能性がある情報項目 |
|---|---|---|
| 入院患者 | 2003年〜2013年に入院し、2013年12月31日以降は受診のない患者 | 患者番号・氏名・性別・診療科・最終受診日 |
| 元治験分担医師 | 2001年以降に治験分担医師であり、2025年度末までに東北大学を退職した方 | 氏名・現在使用できないメールアドレス |
- 個別連絡の状況:漏洩の可能性がある方には個別連絡を実施済みだが、連絡先が不明な対象者には連絡ができていない
- 二次被害の状況:現時点で確認されていない
- 当該NASの現状:ネットワークから切り離し・通信を遮断した上で廃止
- 他システムへの影響:他の医療情報システムへの影響は現時点で確認されておらず、病院は通常通り運営。治験は安全な環境を整備して実施中
- 所轄行政機関への報告:個人情報保護委員会・文部科学省・厚生労働省へ報告済み
- 再発防止策:情報機器への脆弱性対策・システム/ネットワークの運用監視強化・情報セキュリティ教育の徹底。大学病院では当該NASの廃止・治験関連情報の管理方法の見直しを実施
- 問い合わせ窓口:
- 患者・家族向け:東北大学病院専用窓口 022-717-8789(月〜金 9:00〜16:00)
- メディア向け:東北大学パブリックリレーションオフィス 090-2192-8307
第一報からの経緯
当サイトの既報で解説した通り、本事案は「教員PC侵害→NASへの横移動」という2段階の侵害構造を持つ典型的な攻撃パターンでした。
| 日付 | 出来事 |
|---|---|
| 2026年4月16日 | 東北大学が管理するサーバーへの不正アクセスを確認 |
| 2026年4月23日 | 調査の結果、教員PCを踏み台として治験業務用NASへの不正アクセスが発生し、患者の個人情報等の漏洩可能性が判明 |
| 2026年4月24日 | 被害拡大防止のための予防的措置として、一部業務システムのパスワードリセット・学内ネットワーク一部セグメントの切り離しを実施 |
| 2026年5月1日 | 公式サイトへの最初の掲載(当サイト既報の時点) |
| 【今回】2026年6月17日 | 漏洩対象者の具体的な情報項目・二次被害の状況・NASの廃止について追記 |
なぜ「2013年以降受診なし」「退職済み」という古い対象者が含まれるのか
今回追記された対象者の条件には、いずれも「現在は大学・病院との接点がなくなった人々」が含まれている点が特徴的です。
入院患者のケース:2003年〜2013年に入院し、2013年12月31日以降は一度も受診していない患者という条件です。最も古いケースでは20年以上前の入院歴に関するデータが対象になります。これは、当該NASに長期間にわたる治験関連の古い記録が蓄積されたまま保管され続けていたことを示唆しています。
治験分担医師のケース:2001年以降に治験分担医師であり、2025年度末までに東北大学を退職した方という条件です。こちらも最大25年分という長期間にわたる記録が対象となっており、退職者の「現在使用できないメールアドレス」が情報項目として明記されている点も、データが更新されないまま長期保存されていたことを物語っています。
この点は、医療機関・研究機関における長期保存データのガバナンスという重要な論点を提起しています。治験関連データは規制上一定期間の保存義務がある場合が多いものの、「いつまで」「どのような状態で」「誰がアクセスできる形で」保存し続けるかという管理方針の見直しが、今回の事案を機に必要とされる可能性があります。
「連絡先不明」という個別通知の限界
今回の追記で明らかにされた重要な事実は、漏洩の可能性がある対象者の一部について、連絡先が不明であるため個別連絡ができていないという点です。
特に「2013年12月31日以降は受診のない患者」「東北大学を退職した元治験分担医師」という条件は、いずれも長期間にわたって大学・病院との接点が途絶えている人々を指しており、登録されている連絡先(住所・電話番号・メールアドレス)が既に有効でなくなっているケースが相当数含まれることが予想されます。
このため大学は、該当する可能性がある方に対し、自ら名乗り出る形での専用窓口への相談を呼びかけています。
当該NASの廃止—根本的な対策
今回の追記で、不正アクセスを受けた当該NAS(ネットワークストレージ)について、「ネットワークの切り離しを行い、通信を一切遮断」した上で、最終的に廃止されたことが明らかにされました。
これは単なる一時的な防御措置(ネットワーク分離)にとどまらず、問題のあった機器そのものを運用から完全に除外するという、根本的な対応です。あわせて大学病院では「治験関連情報の管理方法の見直し」を実施しているとされており、今後同様のNASに機微な治験データを長期保存する運用そのものが見直される可能性があります。
FAQ
Q. 自分が対象に該当するかもしれませんが、どうすればよいですか? A. 該当する可能性があり不安な点・不明な点がある方は、東北大学病院専用窓口(022-717-8789、月〜金9:00〜16:00)にご相談ください。
Q. 治験は現在も安全に実施されていますか? A. 大学の発表によれば「治験は安全な環境を整備して実施しております」とされています。
Q. 病院の診療には影響がありますか? A. 他の医療情報システムへの影響は現時点で確認されておらず、病院は通常通り運営されています。
参考情報
- 東北大学「本学への不正アクセスについてのご報告とお詫び(6/17追記)」(掲載日2026年5月1日・2026年6月17日追記)
- 当サイト既報:東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ
- 当サイト関連:サイバー攻撃・情報漏えい最新事例まとめ2026
関連記事
東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ
いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】
イエローハット 子会社「2りんかんアプリ」へのサイバー攻撃、個人情報漏洩の件数は317万9,454名分に確定
山形市委託のYCC情報システム、ランサムウェア攻撃で約50万件・マイナンバーを含む個人情報が漏洩の恐れ-9組織以上に波及した攻撃の起点【2026年4月】
消費者金融のキャネット、不正アクセスによるサイバー攻撃で9,987名分の個人情報漏洩の恐れ-二次被害も確認
2026年4月 個人情報漏洩の事例 まとめ
メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模
イエローハット 子会社、「2りんかんアプリ」の不正アクセスで最大345万5,754名分の個人情報漏洩の恐れ
東北大学、学内サーバーへの不正アクセスを公表
