ワクチン接種委託先、情報共有ツールを公開設定で使用 - 奈良県

奈良県は、ワクチン接種会場を運営する業務委託先において連絡に用いていたコミュニケーションツールが「公開設定」となっており、やり取りした個人情報などを第三者が閲覧できる状態となっていたことを明らかにした。

同県によれば、業務を受託する共同企業体において、接種会場とコールセンター間で予約やキャンセルなどの連絡に、情報共有ツールである「Googleグループ」の「グループアドレス」を用いていたが、公開設定となっており、誰でもやりとりを閲覧できる状態となっていたという。

11月19日にコールセンターへ「外部よりやり取りが見られる」との情報提供があり、調べたところ問題が発覚した。

会場の運用を開始した11月4日より、公開を停止した同月19日10時20分にかけて、コールセンターへ予約やキャンセルなどの連絡を行なった73人に関するカタカナ氏名、接種券番号、受付時間、予約内容などが閲覧できる状態だった。

業務委託先では、閲覧件数や情報の拡散状況など影響について調査を進めるとともに、対象者に謝罪を行なっている。

同県では、事前に運用マニュアルの提出を受けていたが、同ツールの利用については説明がなかったとし、今後は予約システムを用いて情報を共有し、連絡には電話を用いるよう求めた。

（Security NEXT - 2022/11/24 ）ツイート