サノフィは8月28日、同社のデータベースに保管していた医療従事者73万人分の個人情報と従業員1390人分のデータに不正アクセスがあり、個人情報が流出した可能性があると発表した。7月10～14日にかけて悪意ある外部第三者がデータベースの一部にアクセスしたことが判明。同社は、不正アクセスの遮断措置と再発防止策を実施し、現時点で二次被害の発生は確認されていないとしている。公表まで約1か月超を要した理由については、「不確定な情報に基づいた通知・公表をすることは、混乱を招き、更なるご心配をおかけするおそれがあると判断した。慎重な調査の結果、本件の事実関係につき一定の確認が得られたため、この度の公表に至った」と説明している。

同社によると、海外の業務委託コンサルタントが使用していた個人用ノートパソコンがマルウェア（不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェア）に感染していることが7月10日に発覚。その後、7月14日にかけて悪意ある外部第三者がデータベースの一部にアクセスしたことが判明した。

◎不正アクセス情報に医療者の氏名、性別、生年月日、メルアド、医療機関名、役職など含む

不正アクセスされた情報には、日本の医療関係者73万3820人分の氏名、性別、生年月日、メールアドレス、医療機関名、医療機関住所、役職（院長、教授等）、職種（医師、コメディカル等）、診療科（内科、外科等）が含まれていた。一方、同社の派遣社員および業務委託先社員を含む従業員1390人分の氏名に関する情報も含まれていた。不正アクセスの対象となった個人情報にクレジットカード情報や銀行口座情報等は含まれていない。

◎コンサルタントの個人用ノートパソコンが発端　サノフィのITセキュリティポリシーに違反も

不正アクセスの発端となったコンサルタントの個人用ノートパソコンについて同社は、「データベースへのアクセスID等を保存していた」と明らかにしており、この点でサノフィのITセキュリティポリシーに違反していたことを指摘している。同社によると二次被害は現時点で発生していないという。ただ、「今後予期せず第三者からの連絡があり、個人情報の提供を求められることがありましたら、本件に鑑み、慎重なご対応をお願い申し上げます」とコメントした。

再発防止策として、ITセキュリティポリシー遵守の更なる徹底に努めるほか、当該業務委託先との契約の即時解除、並びにアカウント停止などの措置を実施した。さらに、データベースにアクセスできるアカウントのパスワード変更や、アカウント管理方法の見直しと継続的な改善、同社ネットワーク以外からのアクセス禁止、IPフィルタリング実施などの策を講じた。