あなたが健康のために提供したデータは、その先で安全に守られているでしょうか。世界的な製薬企業Novo Nordiskが、サイバー攻撃によって臨床試験の患者データと医療従事者の情報を外部に持ち出されたと発表しました。同社は「特定にはつながらない」と強調しますが、医療データを狙う攻撃が世界で増えるいま、この事案は決して対岸の火事ではありません。
Novo Nordisk A/Sは2026年6月11日、デンマーク・バウスベアにおいて、社内ITシステムへの不正アクセスを伴うITセキュリティインシデントを確認したと発表しました。
同社は事案の把握後、外部のサイバーセキュリティ専門家の支援を受けて調査を開始し、関係当局とも連絡を取っています。対応として、自社環境を保護するため一部の社内ITシステムを一時的にオフラインにするなど、複数のセキュリティ措置を講じました。中核的な事業運営に影響はなく、稼働を継続しています。調査の過程で、個人データを含む一部の非公開データが許可なく外部へコピーされていたことが判明し、同社は影響を受けた関係者に通知を行っています。
Novo Nordiskは1923年創業、デンマークに本社を置き、アフィリエイトを80カ国に展開する、従業員数約7万8400人のグローバルヘルスケア企業です。
From: 
Novo Nordisk A/S: IT Security incident at Novo Nordisk
【編集部解説】
今回のニュースを読み解くうえで、まず押さえておきたいのは「何が持ち出されたのか」という点です。現時点で公表されている流出対象は、クレジットカード番号やパスワードではなく、一部の臨床試験に参加した患者の情報、そして医療従事者の個人情報です。
患者側のカテゴリーとして、Novo Nordiskはランダムな英数字からなる患者ID、生年、性別、バイオマーカー、健康・免疫原性(immunogenicity)に関するデータ、さらに喫煙・飲酒・BMIといった生活習慣の項目を挙げています。ただし、すべての患者にすべての項目が当てはまるわけではない、とも補足しています。
見落とせないのが、医療従事者(HCP)側の情報です。報道によれば、氏名・登録番号・メールアドレス・電話番号・WhatsAppの情報・勤務先所在地が露出したとされ、同社はこれらの相手がフィッシング攻撃の標的になり得ると警告しています。患者データが仮名化されていたのに対し、HCPの情報はより直接的に個人を特定しうる点が、性質の違いとして際立ちます。
ここで同社が繰り返し強調しているのが「仮名化(pseudonymization)」という考え方です。患者データについては、氏名などの直接的な識別子が流出に含まれておらず、個人を特定するには別の情報が必要になる。だから即時の危険はない、という論理になっています。
この説明は、技術的には筋が通っていると言えます。一方で、仮名化されたデータも他の情報源と突き合わせれば再特定(re-identification)され得るという指摘は、専門家が以前から鳴らしてきた警鐘でもあります。「特定できない」と「特定されない」は、必ずしも同じではないのです。
では、なぜ攻撃者は製薬会社のデータを狙うのでしょうか。背景には、医療・製薬分野が世界有数の攻撃標的になっているという現実があります。臨床試験の記録は、知的財産であると同時に、闇市場で価値を持つ機微な個人情報でもあるからです。
ある集計では、2025年に医療セクター全体で636件のランサムウェア攻撃が確認され、製薬・医療機器メーカーなどの「医療関連企業」への攻撃は前年から25%増えたとされています。標的が病院から、その上流にいるメーカーやサプライヤーへ広がっている構図が見えてきます。
規制の観点も見逃せません。Novo Nordiskはデンマーク企業であり、EUの一般データ保護規則(GDPR)の管轄下にあります。個人データの不正な持ち出しは当局への報告義務を伴い、対応の巧拙はそのまま信頼と制裁の分かれ目になります。同社が当局と連絡を取り、患者・医療従事者向けの書簡まで用意したのは、この枠組みを強く意識した動きと読めるでしょう。
長期的に見れば、この一件は「Wegovy(ウゴービ)」などで世界の注目を集める企業ほど、創薬の現場そのものが攻撃面(アタックサーフェス)になるという事実を突きつけています。私たちが新しい薬や治療の恩恵を受けるほど、その裏側にある膨大なデータをどう守るのかという問いは重みを増していく。期待と不安はいつも同じコインの裏表なのだと、改めて感じさせられる出来事でした。
【用語解説】
仮名化(pseudonymization)
氏名などの直接的な識別子を別の符号に置き換え、それ単体では個人を特定できないようにする処理のこと。元データと照合しない限り本人にたどり着けない点が特徴だが、完全に復元不可能な「匿名化」とは異なり、復元の余地が残る。
再特定(re-identification)
仮名化・匿名化されたデータを、他の情報源と突き合わせることで特定の個人に結び付け直すこと。一つひとつは断片的な属性でも、組み合わせ次第で本人が割り出される懸念が指摘されている。
バイオマーカー(biomarker)
血液や組織などから測定できる、体内の状態を示す指標のこと。臨床試験では、薬剤の効果や病態の変化を客観的に把握するための材料として用いられる。
免疫原性(immunogenicity)
投与した薬剤などに対して、体内で免疫反応(抗体の産生など)が起こる性質のこと。臨床試験では、医薬品の安全性や有効性を評価するうえで重要な指標となる。
ランサムウェア
感染した端末やデータを暗号化し、その復旧と引き換えに身代金を要求する不正プログラム。近年は、窃取したデータの暴露をちらつかせて支払いを迫る「二重恐喝」型が主流となっている。
攻撃面(アタックサーフェス)
外部の攻撃者が侵入の足がかりにし得る、システムやネットワークの接点・経路の総体を指す。事業のデジタル化が進むほど、この範囲は広がる傾向にある。
フィッシング
正規の組織や知人を装ったメール・電話・メッセージで相手をだまし、認証情報や金銭をだまし取る手口のこと。流出した連絡先情報が悪用されると、被害の入り口になりやすい。
GDPR(一般データ保護規則)
EUが定める個人データ保護の法的枠組み。域内の個人データの取り扱いに厳格な義務を課し、重大な違反には高額の制裁金が科され得る。デンマーク企業であるNovo Nordiskもこの規則の対象となる。
【参考リンク】
Novo Nordisk 公式サイト(外部)
1923年創業のデンマークの製薬企業。糖尿病や肥満症など慢性疾患領域を中心に事業を展開するグローバル企業の公式サイトである。
Novo Nordisk インシデント更新ページ(外部)
本件に関する公式の続報ページ。流出したデータのカテゴリーや患者・医療従事者向けの書簡、問い合わせ先などがまとめられている。
Novo Nordisk 本件プレスリリース(外部)
2026年6月11日付で同社が公表した、本インシデントの第一報にあたる公式プレスリリースの原文を掲載するページである。
Novo Nordisk 製品ページ(外部)
解説で触れたWegovy(ウゴービ)を含む、同社の医薬品ラインアップを一覧で紹介している公式の製品ページである。
【参考記事】
Novo Nordisk identifies unauthorised data access from trials(Clinical Trials Arena)(外部)
流出対象が臨床試験の参加者情報であることを詳報。患者IDや生年、性別、生活習慣などのカテゴリーを具体的に伝えている。
Healthcare Ransomware Roundup: 2025 stats(Comparitech)(外部)
医療分野のランサムウェア被害を集計。2025年は医療関連企業への攻撃が前年比25%増の191件に達したと報告している。
Reviewing Pharmaceutical Threats in 2025(CybelAngel)(外部)
製薬分野の脅威動向を分析。医療セクターがランサムウェアで世界4番目の標的となり、前年比4.8%増えたと指摘する。
Healthcare Data Breach Statistics – Updated for 2026(HIPAA Journal)(外部)
医療分野のデータ侵害を長期集計。大規模侵害が過去最多の772件に達し、過去の巨大流出事例にも触れた統計記事である。
Novo Nordisk hit by cyber incident, probes data breach(BNN Bloomberg/AP)(外部)
通信社系の第一報。外部専門家の支援による調査着手や、一部システムの一時オフライン化など初動対応を簡潔に報じている。
Pharma giant Novo Nordisk discloses breach of clinical trials data(BleepingComputer)(外部)
患者データに加え、医療従事者の氏名や連絡先の流出と、フィッシング被害の懸念まで詳報した記事である。
Novo Nordisk Flags Patient Data Breach From Some Clinical Trials(Reuters/Insurance Journal)(外部)
通信社Reutersによる続報。流出した個人データのカテゴリーと、同社の特定不可との見解を伝えている。
【関連記事】
Ultrahuman、ユーザーデータに不正アクセス|スマートリングが直面した内部システムの侵害と私たちが預ける健康情報
健康データを扱う企業が内部システムへの不正アクセスを受けた事例。「私たちが預ける健康情報」という今回と同じ問いを掘り下げている。
九州大学病院でランサムウェア被害か|患者43人の手術動画流出のおそれ、LockBitの影
医療機関を狙ったサイバー攻撃で患者の機微なデータが流出した懸念を報じた記事。医療×セキュリティという同じ交差点に立つ事例である。
九州電力送配電がSSD紛失、顧客情報1090万件流出のおそれ|暗号化なしの実態
大量の個人情報が外部に流出しうる事案と、データ保護の実装上の課題を扱う。仮名化・暗号化の重要性を考える補助線になる。
ファミリーマートで2150万件のデータ漏洩か—脅威アクター「tbabi」の主張内容と日本企業が取るべき備え
大手企業の大規模データ漏洩疑惑と、日本企業が取るべき備えを論じた記事。今回の解説で触れた「攻撃標的の拡大」と通底する。
オリエンタルダイヤモンド、サーバーが暗号化される被害公表─氏名・住所・電話番号が流出した可能性
企業がインシデントを公表し、流出した個人データの種別を明らかにした事例。今回の対応プロセスと比較して読むと理解が深まる。
【編集部後記】
今回の一件で、私がいちばん考えさせられたのは「自分の情報は、預けた相手の手を離れた先でどう扱われているのだろう」という点でした。臨床試験に限らず、私たちは日々さまざまな場所に個人データを託しています。
みなさんは、何かのサービスに登録するとき、その「預け先のセキュリティ」をどこまで意識しているでしょうか。便利さと安心は、どこで折り合いをつけるのがちょうどいいのか。よければ、ご自身の感覚を聞かせてください。一緒に考えていけたら嬉しいです。
