委託先が顧客データのバックアップを誤って公開設定 - ヘルスケア事業者

ヘルスケア事業を展開するケアプロは、委託先の物流会社が同社顧客情報を誤ってインターネット上で公開していたことを公表した。

同社によれば、2012年1月18日から2019年12月20日にかけて、本来非公開とすべきストレージが公開設定となっていたため、同社でイベントを開催した顧客情報622件が、第三者より閲覧できる状態だったという。イベントの開催場所、物品の送付先や返送先の住所、物品受け渡しの担当者の氏名などが含まれる。

委託先において、旧サーバからAmazon Web Service（AWS）のサーバへの移行時に、AWSのストレージにバックアップとしてデータを保管していたが、ストレージが公開設定になっていたという。

2019年12月11日に、AWSから委託先アカウントの1件が不正に利用された可能性があるとの連絡を受けて調査を実施したところ、不正利用の痕跡は見つからなかったが、今回の問題が発覚したという。

（Security NEXT - 2020/06/09 ） ツイート

PR

関連記事

キャンペーン応募サイトで設定ミス、個人情報を誤表示 - ヤマナカ
新規アプリ登録者のメアド流出、システム設定ミスで - マクドナルド
フォーム設定ミスでイベント応募者情報が閲覧可能に - 岡山シーガルズ
プレゼント申請フォームで応募者情報が閲覧可能に - 伊予市
LINEオープンチャットで設定ミス、複数部外者が参加 - 人吉下球磨消防組合
学内向けクラウドで学生情報が閲覧可能に、権限設定ミスで - 京都府立大
フランチャイジー向けシステムで誤設定、改修時に発生 - 三菱UFJニコス
Teamsで設定ミス、個人情報含むファイルがチーム外から閲覧可能に - 芸工大
県立校向けグループウェア内で公開範囲ミス、個人情報が流出 - 三重県
情報連携ネットワークに患者情報を誤表示、設定ミスで - 大公大付属病院