委託先が名簿を不正にクラウド共有、メール誤送信で発覚 - 厚労省

厚生労働省が実施する研修の委託先において、研修受講生の名簿がルールに反してクラウド上に保存され、外部よりアクセスできる状態だったことがわかった。メールの誤送信をきっかけに発覚したという。

同省では、中長期的なキャリア形成を支援する目的でキャリアコンサルタント向けの研修を実施しているが、同事業を受託する大原学園において、外部よりアクセスできる状態で研修受講生の名簿ファイルがクラウド上に保存されていたことが判明したもの。

問題のファイルは契約上、スタンドアロン環境に保存することが定められていたが、4月23日以降「Microsoft　365」の「SharePoint」にて共有されていた。氏名、住所、電話番号、生年月日など1106人分の個人情報が含まれる。

パスワードによるアクセス制限も行われておらず、URLさえ把握していれば誰でもアクセスできる状態で、6月25日に研修申込者１人に対して、同URLが記載された組織内部のメールを誤送付するミスが発生し、受信者からの指摘によって問題が発覚した。

（Security NEXT - 2021/08/27 ） ツイート

PR

関連記事

ランサム被害の調査を継続、受注や発送は再開 - メディカ出版
元従業員が個人情報を退職後にダウンロード - ユナイテッドアローズ
地域生活支援システムで障害、個人情報が消失 - 東海村社会福祉協議会
「Teams」で学生情報含むファイルの権限設定ミス - 明学大
サービス更新申込書が外部から閲覧可能に、設定不備で - セゾンテク
クラウド設定ミス、学内で学生の個人情報が閲覧可能に - 流通科学大
クラウドに不正アクセス、個人情報流出の可能性 - マイナビ
クラウド用ネットワークに侵入、個人情報やシステム情報が流出か - STNet
個人情報含むPCを電車内に置き忘れ、データは暗号化 - 埼玉県
外部クラウドからユーザー属性情報が流出、原因を調査 - TOKYO FM