委託先が名簿を不正にクラウド共有、メール誤送信で発覚 - 厚労省

厚生労働省が実施する研修の委託先において、研修受講生の名簿がルールに反してクラウド上に保存され、外部よりアクセスできる状態だったことがわかった。メールの誤送信をきっかけに発覚したという。

同省では、中長期的なキャリア形成を支援する目的でキャリアコンサルタント向けの研修を実施しているが、同事業を受託する大原学園において、外部よりアクセスできる状態で研修受講生の名簿ファイルがクラウド上に保存されていたことが判明したもの。

問題のファイルは契約上、スタンドアロン環境に保存することが定められていたが、4月23日以降「Microsoft　365」の「SharePoint」にて共有されていた。氏名、住所、電話番号、生年月日など1106人分の個人情報が含まれる。

パスワードによるアクセス制限も行われておらず、URLさえ把握していれば誰でもアクセスできる状態で、6月25日に研修申込者１人に対して、同URLが記載された組織内部のメールを誤送付するミスが発生し、受信者からの指摘によって問題が発覚した。

（Security NEXT - 2021/08/27 ） ツイート

PR

関連記事

高校内関係者向けクラウドに進路希望情報を誤保存 - 新潟県
配布調査書に個人情報、作成元資料のデータが残存 - 都立高
IIJ、メールサービス侵害の調査結果を公表 - 全契約の約9％に影響
受託要配慮個人情報含むPC紛失、約1カ月後に回収 - 日本健康文化振興会
IIJメールサービス設備内に不正プログラム - 最大6493契約で情報漏洩のおそれ
潤工社のランサム被害、社内ネットワークとクラウド上に侵害の痕跡
成績データを誤アップロード、生徒がSNSで共有 - 静岡県
ファイル送信ミスなど県立学校4校で個人情報関連事故 - 群馬県
Teamsで設定ミス、個人情報含むファイルがチーム外から閲覧可能に - 芸工大
進路希望調査が流出、教員向けURLを誤送信 - 近大学付属福岡