画像:福岡県より引用
福岡県は2021年1月6日、同県新型コロナウイルス感染症対策本部が管理し医療従事者と情報共有していた新型コロナウイルス感染者9,500人分の個人情報について、特定のURLを入力することで第三者が自由に閲覧できる状態にあったと明らかにしました。
発表によれば、福岡県対策本部では県内の新型コロナウイルス感染症検査において陽性判定が出た人の個人情報をクラウドサービス上で管理し、医療従事者と共有していました。
ところが2020年11月30日に入り、福岡県とある医療従事者1名が情報データが記録されたフォルダへのアクセス権を付与するメールをやりとりする際、本来送付すべきアドレスと類似していた第三者のアドレスにメールを発信するという誤送信が発生。その後、メールを受信した第三者より誤送信の指摘が入り、事態が発覚したとしています。
9,500人分の個人情報が閲覧可能な状態に
福岡県は誤送信発覚後、情報流出を防止する観点からメールを受信した第三者について、感染者情報が含まれるフォルダへのアクセス権を制御する設定を実施しました。
ところが2021年1月6日になり、県が実施したアクセス制御は個人情報が含まれるフォルダに対してのものにすぎず、個別ファイルについてはアクセス制御がなされておらず、URLを知っていれば閲覧できる状態にあったと発覚。このため、福岡県は2021年1月6日、クラウドサービス上にアップロードしていたすべてのファイルを削除し、閲覧できない状態にする対策を実施しました。
なお、同県によると閲覧可能だった情報は県内においてこれまで新型コロナウイルス感染症検査において陽性反応が出た9,500人分の個人情報で、氏名、居住地、年齢、性別、症状などが含まれていたとしています。
参照新型コロナウイルス感染症対策本部(調整本部)における個人情報の漏えい等事案について