保健所職員が個人情報を私用端末に、同期クラウドが乗っ取り被害 - 大阪市

大阪市の保健所職員が個人端末に業務情報を保存しており、データを同期していたクラウドサービスのアカウントが第三者に乗っ取られたことがわかった。

同市によれば、保健所職員が許可なく個人の端末で保健所の業務資料、職員名簿、関係団体などを撮影し、保持していたもの。

端末内部のデータは、職員が個人で契約するクラウドサービスと自動で同期されていたが、同職員がフィッシング詐欺の被害に遭い、同サービスのアカウントを乗っ取られ、情報が流出した。

4月22日に職員が乗っ取り被害に気づき、4月25日に同市へ報告した。業務資料には、個人情報495件や法人情報2件が記載されいた。個人の氏名、住所、電話番号、生年月日のほか、保健所にて扱う情報が含まれるが、二次被害の防止を理由に具体的な内容は明らかにしていない。

その後対応を進めてきたが、問題のアカウントは第三者に乗っ取られた状態のままで、取り戻せていないという。個人情報などへアクセスしているかも不明。同市では、8月3日にかけて順次対象となる関係者に連絡を取り、経緯の説明と謝罪を行っている。

同市では、業務用端末であれば許可のもと個人情報を持ち出すことが可能だが、個人の端末へ保存することは禁止されており、個人情報の取り扱いに関する認識が不十分だったという。同市では情報を共有して注意喚起を行い、再発防止を図るとしている。

（Security NEXT - 2022/08/24 ）ツイート