ノボ ノルディスクの治験情報を狙ったサイバー攻撃：何が起き、何が流出したのか？

流出した患者データの内容

今回のインシデントで特に注目を集めたのが、治験参加者のデータ流出です。ノボ ノルディスクの公式声明によると、流出したのは一部の治験に関連する、限定的な範囲の「仮名化された」データです 。

具体的に流出した可能性があるデータの種類は以下のとおりです：

• 患者ID：氏名ではない、ランダムな英数字の文字列と、治験への参加に関する情報
• 性別
• 生年
• 生体指標（バイオマーカー）
• 健康・免疫原性データ
• 生活習慣因子：喫煙状況、飲酒習慣、BMI（体格指数）など

同社は、これらのデータは「氏名などによって患者と直接結びつくものではない」ことを強調しています。また、第三者がこの情報だけから治験参加者を特定することは不可能であるという見解を示しています 。

ノボ ノルディスクの対応

ノボ ノルディスクは、インシデント発覚後、以下のような初動対応をとりました。

• 外部専門家による調査の開始：社外のサイバーセキュリティ専門家の支援を得て調査を開始し、加えて関連する規制当局や法執行機関とも連絡を取り合っています 。
• 予防的なシステム遮断：被害の拡大を防ぎ、環境全体を保護するため、複数の社内ITシステムを一時的にオフラインにしました。現在、これらのシステムを管理された安全な方法で復旧させる作業を進めています 。
• 当局への通報と連携：関連する規制当局および法執行機関と協議中です 。
• 影響を受けた関係者への通知：状況に応じて、影響を受けた個人への連絡を進めています 。
• 患者へのアドバイス：現時点で患者側で特別な対応を取る必要はないとしつつも、一般的な注意（フィッシング詐欺への警戒など）を怠らないよう呼びかけています 。

コア事業への影響は？

同社の発表で明確にされているのは、「中核となる事業運営に影響はなく、通常通り稼働している」という点です 。この攻撃は限定的な社内システムに封じ込められており、主力の製造、サプライチェーン、そして商業活動は滞りなく継続されました 。

皮肉なタイミング：新薬承認の朗報とサイバー攻撃

このサイバー攻撃が公表された日、ノボ ノルディスクには別の大きなニュースもありました。同日、英国の規制当局が、同社にとって初の1日1回経口タイプのGLP-1受容体作動薬（肥満症治療薬）を承認したのです 。

このポジティブな材料が、サイバー攻撃というネガティブなニュースを打ち消し、同日の同社株価（NVO）は最大で3%上昇しました 。

製薬業界を取り巻くサイバーセキュリティ環境

今回のインシデントは、ノボ ノルディスクだけの問題ではありません。背景として、製薬業界全体がサイバー攻撃の脅威に晒されているという現実があります。

特に記憶に新しいのは、2026年5月4日に発生した、大手医薬品サプライヤーであるウエスト・ファーマシューティカル・サービスへのランサムウェア攻撃です。この攻撃ではデータの窃取とシステムの暗号化が行われ、同社の製造および出荷業務が世界的に混乱しました 。

さらにノボ ノルディスクは、買収した医薬品候補「オセドゥレノン」の臨床試験失敗をめぐり、売却元のKBPバイオサイエンシズに対して最大8億3000万ドルの損害賠償を求める訴訟を起こしており、法的・財務的にも複雑な局面を迎えています 。

2026年6月のサイバー攻撃に関する調査は現在も進行中であり、ノボ ノルディスクは攻撃者や被害の全容について、これ以上の詳細をまだ発表していません 。