Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託先が名簿を不正にクラウド共有、メール誤送信で発覚 - 厚労省

厚生労働省が実施する研修の委託先において、研修受講生の名簿がルールに反してクラウド上に保存され、外部よりアクセスできる状態だったことがわかった。メールの誤送信をきっかけに発覚したという。

同省では、中長期的なキャリア形成を支援する目的でキャリアコンサルタント向けの研修を実施しているが、同事業を受託する大原学園において、外部よりアクセスできる状態で研修受講生の名簿ファイルがクラウド上に保存されていたことが判明したもの。

問題のファイルは契約上、スタンドアロン環境に保存することが定められていたが、4月23日以降「Microsoft 365」の「SharePoint」にて共有されていた。氏名、住所、電話番号、生年月日など1106人分の個人情報が含まれる。

パスワードによるアクセス制限も行われておらず、URLさえ把握していれば誰でもアクセスできる状態で、6月25日に研修申込者1人に対して、同URLが記載された組織内部のメールを誤送付するミスが発生し、受信者からの指摘によって問題が発覚した。

(Security NEXT - 2021/08/27 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

個人情報誤表示、1647人に影響 - 山口県クラファンサイト
医師のクラウドアカウントに不正アクセス - 愛知県がんセンター
山口県のクラファンサイトで個人情報を誤表示 - CDNで意図せぬキャッシュ
クラウド設定ミスによる顧客情報流出で対象者を特定 - 琉球銀
中国の再委託先、データを無許可で個人クラウドに - 村田製作所
患者情報含む医師個人のクラウドアカウントが乗っ取り被害 - 岡大病院
認証連携APIに不正アクセス、DCの不審アカウントきっかけに判明 - 弥生
クラウド設定不備で顧客情報に外部アクセス - 琉球銀
学費振替情報を無関係79校に誤送信 - かながわ信金
クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー