画像:大阪市より引用
大阪市は2022年8月9日、大阪市保健所に所属する医師職員が所有する個人用端末のアカウントが外部から不正アクセスを受けたことにより、クラウドストレージに保存されていた保健所取扱の個人情報495件および法人情報2件が第三者に閲覧可能な状態にあったと明らかにしました。
大阪市によると医師職員は個人用アカウントにて、端末内のデータがクラウドストレージに自動保存されるサービスを契約しており、個人情報の持ち出し手続を経ないまま端末内に保健所取扱いとなる業務用資料の一部を撮影した写真を保存していました。
ところが、医師職員がフィッシング詐欺を受けたことにより、個人契約していたクラウドサービスのアカウントが乗っ取られる事態が発生。ストレージ内には個人の氏名や連絡先等を含む保健所取扱の情報合計497件が記録されていましたが、被害に気付いた職員が2022年4月25日に乗っ取りの発生と不正閲覧について報告したため、対象情報の流出懸念が判明しました。
事案共有と注意喚起で再発防止
大阪市は事案の発生を受け2022年6月中旬にクラウドサービス事業者、警察、弁護士と相談しています。また、個人情報の有無や内容の調査後、2022年8月3日より順次関係者に連絡を取り、経過説明と謝罪しています。
大阪市は原因について、対象職員は個人情報の持ち出し時に適切な手続きを取っておらず、情報取扱に関する認識が不十分であったと説明しています。このため、流出事案を保健所職員間で共有するとともに注意喚起を図ると説明。再発を防止する考えを明かしました。
参照大阪市保健所における個人情報等を含む写真データ等の漏えいについて/大阪市