Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託先が名簿を不正にクラウド共有、メール誤送信で発覚 - 厚労省

厚生労働省が実施する研修の委託先において、研修受講生の名簿がルールに反してクラウド上に保存され、外部よりアクセスできる状態だったことがわかった。メールの誤送信をきっかけに発覚したという。

同省では、中長期的なキャリア形成を支援する目的でキャリアコンサルタント向けの研修を実施しているが、同事業を受託する大原学園において、外部よりアクセスできる状態で研修受講生の名簿ファイルがクラウド上に保存されていたことが判明したもの。

問題のファイルは契約上、スタンドアロン環境に保存することが定められていたが、4月23日以降「Microsoft 365」の「SharePoint」にて共有されていた。氏名、住所、電話番号、生年月日など1106人分の個人情報が含まれる。

パスワードによるアクセス制限も行われておらず、URLさえ把握していれば誰でもアクセスできる状態で、6月25日に研修申込者1人に対して、同URLが記載された組織内部のメールを誤送付するミスが発生し、受信者からの指摘によって問題が発覚した。

(Security NEXT - 2021/08/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

クラファンで別人に商品や通知メールを配送
保健所職員が個人情報を私用端末に、同期クラウドが乗っ取り被害 - 大阪市
入学選抜情報をクラウド上に保存、複数生徒がアクセス - 都立高校
研修支援サービスで外部より個人情報へアクセス可能に - リスモン
中学校で生徒のテスト結果一覧を誤配布 - 柏市
富士通クラウドサービスへの攻撃 - 侵入の痕跡見つかる
採用関連情報がネットより閲覧可能、権限設定ミスで - エイチーム
クラウド利用機器にサイバー攻撃、脆弱性公表から3日後に - 富士通
クラウドサーバで個人情報流出の可能性 - 京都駅ビル
健康相談サービスでアップ画像が外部から閲覧可能 - 外部指摘受け修正