難病研究用データに個人情報、ファイルから削除し忘れ - 厚労省

医薬健栄研では、難病データベースの格納データよりCSVデータを作成し、表計算ファイルのシートとして一時保存。同シートをもとに、個人情報を含まない必要なデータのみ抽出した別のシートを作成し、元データのシートを削除した上で厚労省へ送付すべきところ、削除し忘れたという。

同研究所より提出されたデータは、同省内で委託先である日立製作所がIDの付与など提供用データに加工するが、加工に用いる表計算ファイルのシートについては個人情報の有無などをチェックしたものの、ファイル内に元データのシートが含まれていることを想定しておらず、問題に気が付かなかった。

同省では今回の問題を受けて、提供した表計算ファイルを研究者から回収。目的外利用やデータの複製など行っておらず、研究者以外への流出がないことを確認した。同省では対象となる患者に対し、謝罪の書面を送付する。

今後は、同研究所や同省におけるダブルチェックの徹底のほか、表計算ファイルの作業フローを見直すなど再発防止策を講じるとしており、対策を実施するまでデータの第三者提供を停止するとしている。

（Security NEXT - 2022/08/16 ） ツイート

PR

関連記事

DB管理ツール「pgAdmin4」に複数脆弱性 - 重要度「クリティカル」も
「Apache Causeway」に深刻な脆弱性 - アップデートで修正
病院職員が患者情報含む受付画面をSNS投稿 - 岩見沢市
土地家屋調査士試験の申請書を誤廃棄 - 保存期間の表示漏れで
学会掲載論文の図表に患者の個人情報 - 神奈川県立病院機構
eラーニングシステムで利用者情報が閲覧可能に - 学研Meds
サイトが改ざん被害、海外オンラインカジノへ誘導 - 拓大
介護サービス事業所変更届を第三者にメール誤送信 - 笠間市
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響