委託先が名簿を不正にクラウド共有、メール誤送信で発覚 - 厚労省

厚生労働省が実施する研修の委託先において、研修受講生の名簿がルールに反してクラウド上に保存され、外部よりアクセスできる状態だったことがわかった。メールの誤送信をきっかけに発覚したという。

同省では、中長期的なキャリア形成を支援する目的でキャリアコンサルタント向けの研修を実施しているが、同事業を受託する大原学園において、外部よりアクセスできる状態で研修受講生の名簿ファイルがクラウド上に保存されていたことが判明したもの。

問題のファイルは契約上、スタンドアロン環境に保存することが定められていたが、4月23日以降「Microsoft　365」の「SharePoint」にて共有されていた。氏名、住所、電話番号、生年月日など1106人分の個人情報が含まれる。

パスワードによるアクセス制限も行われておらず、URLさえ把握していれば誰でもアクセスできる状態で、6月25日に研修申込者１人に対して、同URLが記載された組織内部のメールを誤送付するミスが発生し、受信者からの指摘によって問題が発覚した。

（Security NEXT - 2021/08/27 ） ツイート

PR

関連記事

作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
端末管理システムで誤設定、従業員情報が閲覧可能に - マイナビ
開発リポジトリでクラウドアクセスキーを誤公開 - ビール定期便サービス
SonicWallのクラウドバックアップに攻撃 - FW情報が漏洩
ウェブ広告に誤URL、個人情報へアクセス可能に - データ基盤サービス事業者
学生の個人情報含むPCを電車内で紛失 - 関東学院大
中学PTA議決資料が閲覧可能に、クラウドで設定ミス - 奈良市
保存場所を誤り、児童用端末から成績が閲覧可能に - 大阪市
学修システムに誤設定、仮保存の個人情報が閲覧可能に - 浜医大
サイトDBより個人情報流出の可能性 - リゾート施設運営会社