Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託先が名簿を不正にクラウド共有、メール誤送信で発覚 - 厚労省

厚生労働省が実施する研修の委託先において、研修受講生の名簿がルールに反してクラウド上に保存され、外部よりアクセスできる状態だったことがわかった。メールの誤送信をきっかけに発覚したという。

同省では、中長期的なキャリア形成を支援する目的でキャリアコンサルタント向けの研修を実施しているが、同事業を受託する大原学園において、外部よりアクセスできる状態で研修受講生の名簿ファイルがクラウド上に保存されていたことが判明したもの。

問題のファイルは契約上、スタンドアロン環境に保存することが定められていたが、4月23日以降「Microsoft 365」の「SharePoint」にて共有されていた。氏名、住所、電話番号、生年月日など1106人分の個人情報が含まれる。

パスワードによるアクセス制限も行われておらず、URLさえ把握していれば誰でもアクセスできる状態で、6月25日に研修申込者1人に対して、同URLが記載された組織内部のメールを誤送付するミスが発生し、受信者からの指摘によって問題が発覚した。

(Security NEXT - 2021/08/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

元従業員の売却HDD内に業務文書、データ複製の連鎖で - ラック
神戸物産にサイバー攻撃、詳細を調査 - システムは2日後に復旧
個人情報流出の可能性示す痕跡を発見、最大対象件数を算出 - リニカル
ランサムウェア被害で顧客情報流出の可能性 - コンサル事業者
経済同友会、複数端末に不正アクセス - サーバのアラート契機に発覚
イベント来場者管理サービス、大量アクセスで個人情報を誤表示
個人情報誤表示、1647人に影響 - 山口県クラファンサイト
医師のクラウドアカウントに不正アクセス - 愛知県がんセンター
山口県のクラファンサイトで個人情報を誤表示 - CDNで意図せぬキャッシュ
クラウド設定ミスによる顧客情報流出で対象者を特定 - 琉球銀