【サノフィ】医療従事者73万人の個人情報流出／サイバー攻撃で

　2024年7月10日、海外の業務委託コンサルタントが使用していた個人用ノートパソコンがマルウェアに感染。このコンサルタントは、同社のITセキュリティポリシーに違反して、個人用ノートパソコンに同社のデータベースへのアクセス ID 等を保存していた。
　2024年7月10日から14日にかけて、悪意のある外部第三者が本データベースの一部にアクセスしたことが判明した。不正アクセスされた情報には、日本の医療関係者及び社員の情報が含まれていた。

　不正アクセスの対象となった個人情報（日本）は、医療従事者73万3820人分。
　情報は氏名のほか、性別、生年月日、メールアドレス、医療機関名、医療機関住所、役職（院長、教授等）、職種（医師、コメディカル等）、診療科（内科、外科等）。

　本件による個人情報の公開や不正使用などの二次被害の発生は現時点で確認されていないという。不正アクセスの対象となった個人情報に クレジットカード情報や銀行口座情報等は含まれていないが、今後予期せず第三者からの連絡があり、個人情報の提供を求められることがあった場合、慎重な対応を求めている。

　同社は今回の件を真摯に受け止め、直ちに不正アクセスの遮断措置を実施し、以下の再発防止策を実施したとする。
⚫当該業務委託先との契約の即時解除、並びに、アカウント停止
⚫本データベースにアクセスできるアカウントのパスワードの変更
⚫本データベースに対するアカウント管理方法の見直しと継続的な改善（例：アカウントの自動有効期限設定など）
⚫ ネットワークアクセスの制限（例：弊社ネットワーク以外からのアクセス禁止、および、IP フィルタリング実施など）

　また、IT セキュリティポリシー遵守の更なる徹底に努めていく方針。

　なお発生から公表までに時間を要した経緯については、不確定な情報に基づいた通知・公表をすることは、混乱を招き、更なる心配をかけるおそれがあると判断したと説明している。慎重な調査の結果、本件の事実関係につき一定の確認が得られたため、公表に至ったという。

　詳細は同社ホームページでも確認できる。
https://www.sanofi.co.jp/ja/media-room/press-releases/2024/0828