2021年1月6日、福岡県が新型コロナウイルス感染症対策本部(調整本部)で取り扱っている新型コロナウイルス感染症陽性者約9,500人分の個人情報を漏えいしたと発表しました。
目次
情報漏洩したのは”患者一覧表”
福岡県ホームページ「新型コロナウイルス感染症対策本部(調整本部)における個人情報の漏えい等事案について」
情報漏洩したのは、「新型コロナウイルスに感染した患者の氏名、居住地、年齢、性別、症状などが記載された患者一覧表」です。
情報漏洩した経緯
福岡県が発表した情報漏洩の経緯を見てみると、
- 調整本部が作成した患者一覧表をクラウドで共有
- クラウド上にアップロードされたファイルのURLを「URL(リンク)を知っていればファイルを閲覧できる」アクセス権限付で、メールを誤送信
- 誤送信先の個人からメールの誤送信について連絡が来る
- 同個人へのアクセス制限対応
- 「URL(リンク)を知っていればファイルを閲覧できる」アクセス権限についての対応は行われず状態は継続
結果、2020年12月1日から2021年1月6日までの間、「URL(リンク)を知っていればファイルを閲覧できる」状態になっていたという経緯だったと説明があります。
情報漏洩した原因はクラウドサービスの設定ミス
今回の情報漏洩の原因は、「URL(リンク)を知っていればファイルを閲覧できる」アクセス権限の状態で、「新型コロナウイルスに感染した患者の氏名、居住地、年齢、性別、症状などが記載された患者一覧表」を共有していたことです。
そして、メールの誤送信によって、その状態を第三者に晒してしまったことで、情報漏洩状態がオープンになるキッカケを作ってしまったわけですが、その後のアクセス制限の対処について見てみると、おそらくこの調整本部の担当者は「URL(リンク)を知っていればファイルを閲覧できる」アクセス権限の付与機能についての知識が不足していた状態で運用していたということでしょう。
ITリテラシー教育
今回福岡県で起きた情報漏洩事故の根本原因は、クラウドサービスを利用する上での利用上注意すべき知識・ポイントが利用者の間で共有されていなかったように見受けられます。昨日の記事(年末年始に発生したサイバー攻撃 楽天に不正アクセス、最大148万件以上の情報流出報道についての対策)でクラウドの設定ミスについてご紹介しましがが、福岡県で発生した今回の情報漏洩事故のケースは、ITリテラシーの不足が原因ですので、同じクラウド設定ミスではありますが根本の原因が異なっています。
今回起きた情報漏洩事故への対策として重要なことは、クラウドサービスを利用する人々(全従業員が望ましいのですが)へのITリテラシー教育を充実化と定期的な実施です。
ITリテラシーとは
ITリテラシーとは、通信やネットワーク、クラウドサービスなどITに関連する要素を理解する能力、操作する能力、情報を探し精査する能力などのことです。
パソコンやスマートフォンの簡単な操作から各種クラウドサービスの操作方法、個人情報を含む情報の取り扱い方法などについても、ITリテラシーです。
ITリテラシーが欠如していると、PCやアプリケーション操作による生産性低下や人為的ミスによって情報漏洩などのセキュリティ事故やコンプライアンス違反、SNS上での事故・炎上による信用低下などのリスクを招く危険性が高まります。
