piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

福岡県の新型コロナ陽性者情報流出についてまとめてみた

2021年1月6日、福岡県は新型コロナウイルス感染症陽性者の情報の外部への流出が発生したと発表しました。ここでは関連する情報をまとめます。

福岡県内の陽性者一覧が流出

新型コロナウイルス感染症対策本部(調整本部)における個人情報の漏えい等事案について(福岡県)

  • 対象の陽性者数は約9,500人。(同県全体でこれまでに把握された2021年1月5日頃までの全陽性者数に相当)
  • 流出したファイルは調整本部が作成した陽性者の一覧表。陽性者の氏名、年齢、性別、居住自治体名、症状などが含まれる。
  • インターネット上で1か月(2020年11月30日から少なくとも2021年1月5日)にわたり、第三者(メール誤送信を受けた男性一人)が閲覧できる状態だった。男性以外の流出や悪用の事実は確認されていない。

経緯をまとめると以下の通り。

日時 出来事
2020年4月 対策本部がGoogle Drive上での陽性者一覧表共有を開始。
2020年11月30日 アクセス権付与のメールを無関係の男性に誤送信。
同日 男性が福岡県に問題を指摘。男性に付与された権限を削除。
ファイル個別の制限は行われず、URLを知っていれば参照可能な状態が継続。
2021年1月6日 報道機関の取材により福岡県が個人情報の流出発生を把握。ファイルを削除。
同日 福岡県が個人情報流出が発生したことを公表。

アクセス権限付与のメール誤送信

  • Google Driveは医療関係者と協議し、迅速な入院調整を行う(リアルタイム)情報共有を目的に採用。*1
  • 対策本部に在籍する外部の医療関係者が別の医療関係者にフォルダーのアクセス権を付与するメールを送信する際、アドレスの入力を誤り無関係の男性に誤送信していた。*2
  • メールを受信した男性は福岡県に誤送信を指摘。誤送信した医療関係者がアクセス権を制限した。
  • ファイル単体の参照権限が残ったままで、URLを知っていればファイルを参照することがその後も可能な状態となっていた。(男性はファイルの参照先URLが閲覧履歴に残っていたために把握できたとみられる)
  • アクセス権の管理は福岡県の職員ではなく、対策本部の医療関係者が担当。
  • 誤送信の報告は本部の一部にのみ共有されていたが、担当部長、課長は把握していなかった。福岡県はJNNの取材を通じこの事態を把握。*3

電話、FAXに変更と報道

  • アップロードしていたファイルを全て削除。
  • 対象者への事実関係の連絡と謝罪。
  • ファイルの参照権限を受けた人以外の参照があったかを確認を調査。
  • 再発防止としてGoogle Driveを使用せず、電話、FAXで個人情報の送信を行うことが報じられている。*4

更新履歴

  • 2021年1月8日 PM 新規作成