ノボ ノルディスク、1TBのデータ侵害疑惑で当局に連絡

ノボ ノルディスク、1TBのデータ侵害疑惑で当局に連絡

製薬大手ノボ ノルディスクは、ハッキンググループが同社のデータを1テラバイト以上盗み出し公開したと主張していることを受け、関係当局と連絡を取っていることを確認した。糖尿病治療薬や減量薬で最も知られる同社は、報告されたインシデントについて調査を進める一方、システムを監視し、通常の業務を継続していると述べている。

この事態は、医療・製薬企業が機密データをどのように取り扱っているか、そして信頼する組織が標的となった場合に患者や従業員がどのような行動をとるべきかについて、喫緊の課題を提起している。

ノボ ノルディスクがこれまでに発表した内容

ノボ ノルディスクの対応は抑制されたものだった。同社はこの主張を認識していることを確認し、対応の一環として当局と連携していると述べた。ハッキンググループがデータを公開したとされる事実を認めた以上に、具体的にどの情報が影響を受けたのか、また侵害がどのように発生したのかについては詳細な確認を提供していない。

このような慎重かつ限定的な情報開示は、企業のサイバーインシデントの初期段階では一般的である。企業は、影響を受けた関係者への通知義務という法的義務、確定的な声明を出す前に調査する運用上の必要性、過剰に情報を出しすぎたり重大な事象を軽視しているように見えたりする評判リスクといった、相反するプレッシャーに直面する。その結果、潜在的に影響を受けた個人が明確な回答を得られないまま待機する期間が生じることが多い。

別途報じられているように、このインシデントはサイバー脅迫キャンペーンと一致する特徴を持っており、攻撃者はデータを盗み出し、要求が満たされなければ公開すると脅す。この手口は業界を問わずますます一般的になっているが、医療・製薬分野では特に深刻で、関与するデータには臨床記録、患者識別情報、独自研究などが含まれる可能性がある。

侵害に関する主張のより広範な文脈や、関与したとされるデータの種類に関する報道内容については、ノボ ノルディスク、1.3TBの侵害で臨床試験データが盗まれるで追加の背景が提供されている。

製薬企業のデータ侵害が特に深刻な理由

多くの人はデータ侵害といえば、金融情報やパスワード、ソーシャルメディアのアカウントを連想する。大手製薬企業に関わる侵害は、それとは異なり、より長期的な影響を及ぼす可能性がある。

製薬企業は、臨床試験参加者の記録、健康歴、従業員の個人データ、独自の医薬品開発研究、場合によっては企業と関わる医療専門家に関する情報など、さまざまな機密カテゴリーのデータを保有している。盗まれたクレジットカード番号は解約して再発行できるが、健康情報は恒久的だ。保険金詐欺やなりすまし、個人の病歴を悪用した標的型フィッシング攻撃に利用される恐れがある。

この機密性の高さゆえに、医療分野は脅迫グループの格好の標的になってきている。組織が要求に応じざるを得ないほどの高いリスクがあり、多くの法域の規制当局は健康データ侵害を特に深刻に扱っている。同様の構図は、サードパーティのクラウドアプリを介したiRhythmの侵害でも見られ、企業の直接のインフラ外のシステムを通じて患者の健康情報が露出した。

あなたにとってどのような意味があるのか

もしあなたがノボ ノルディスクの臨床試験に参加したことのある患者、あるいは同社の医薬品を使用したことがある、もしくはあなたの医療提供者が同社と関わりがあった場合、あなたのデータがこの疑惑のある盗難に含まれている可能性を、公式通知が届く前から真剣に受け止める価値がある。

いますぐできることは以下のとおり。

フィッシングに注意する。 盗んだデータを公開する脅迫グループは、多くの場合、それを他の犯罪者に売却または配布する。あなたの健康状態や医薬品、個人情報に言及したメールやメッセージが増える可能性がある。健康に関する一方的なコンタクトには特に警戒すること。

健康保険の明細を確認する。 盗まれた健康データを使った不正請求は、侵害から何か月も後に現れることがある。受けていないサービスや訪れていない医療提供者が含まれていないか調べること。

公式通知を確認する。 居住地域によっては、ノボ ノルディスクは法的にデータが影響を受けた個人に通知する義務がある可能性がある。EUのGDPRや米国のHIPAA（該当する場合）の下での規制機関が通知期限を定めている。企業や関連する保健当局からの公式な連絡に注意を払うこと。

強力で固有の認証情報を使用する。 ノボ ノルディスクや関連する医療ポータルのアカウントを持っている場合は、直ちにパスワードを変更し、多要素認証を有効にすること。

プライバシー監査を検討する。 このインシデントは、製薬企業を含むあらゆる組織と共有しているデータを見直し、不要なデータ共有を最小限に抑える良いきっかけとなる。

注目すべきより広範なパターン

ノボ ノルディスクは特別な事例ではない。大手製薬企業や医療企業は近年、サイバー脅迫やデータ窃盗の試みの高まりに直面している。これらの組織は、複雑なグローバルサプライチェーン、パートナーネットワーク、そして一様に保護するのが難しいレガシーITシステムにまたがり、膨大な量の機密情報を保有している。

今回のインシデントが注目されるのは、疑惑の窃取の規模と、ノボ ノルディスクがグローバルに事業を展開していることから複数の法域にわたる当局が関与している点である。この調査の結果は、同業他社が自社のデータセキュリティ態勢をどのように見直すかに影響を与えるだろう。

個人にとって重要な教訓は、プライバシー保護はデータを保有する組織に全面的に委ねることはできないということだ。テクノロジー業界で働いているかどうかにかかわらず、あるいは単に医療を受けているだけでも、データの最小化、認証情報の衛生、ソーシャルエンジニアリングへの警戒といった個人的な習慣を築くことがますます不可欠になっている。ノボ ノルディスクおよび関連規制機関からの公式な最新情報に注意を払い、状況の進展を見守ってほしい。