大阪市保健所職員(医師)の個人用端末アカウントに対する不正アクセスにより、クラウドサービス上に保存されていた個人情報等を含む写真データが不正アクセス者から閲覧できる状態になっていたことが、令和4年4月25日(月曜日)に判明しました。
このたびの事案が発生したことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。
1 概要と事実経過
令和4年4月25日(月曜日)、大阪市保健所に勤務する職員から、「個人用端末アカウントから行ったインターネット上のアクセスにより、フィッシング詐欺にあい、個人で契約していたクラウドサービスのアカウントが乗っ取られていたことに、令和4年4月22日(金曜日)に気づいた」と報告がありました。
当該職員が、個人用端末アカウントで保存していたデータが外部のクラウドサービスに自動的に保存される設定としており、個人的な写真や業務上使用する資料の一部を撮影した写真を保存していたため、不正アクセス者から閲覧できる状態になっていたことが判明しました。
2 データに含まれる個人情報等
個人の名前、住所、電話番号、生年月日等を含む保健所内で取り扱う個人情報495件及び法人情報2件
3 判明後の対応
令和4年6月中旬にかけて、クラウドサービス事業者、警察及び弁護士と相談をしたうえ、二次被害等の影響等を考慮し、当該職員の個人用端末に保存されていた写真データ等の全てについて、個人情報の有無や内容を調査し、令和4年8月3日にかけて順次、当該関係者の皆様に連絡をとり、大阪市保健所の職員が経過説明と謝罪を行いました。
なお、現時点で、個人情報等が第三者に利用された事実は確認されておりません。
また、所属職員全員に対し、個人用端末を用いた同様の資料データ持ち出しがない事を確認しました。
4 原因
職員の個人情報等の取り扱いに関する認識が不十分であり、個人情報を持ち出す手続きをせず、個人情報等を含む資料を個人用端末で写真撮影し、保存していたことが原因です。
5 再発防止について
これまでも職員に対して個人情報等の管理の徹底を指導していたにもかかわらず、このような事案を起こしたことについて、深く受け止め、保健所職員に対して、今回の事案を共有するとともに注意喚起を図り、個人情報等の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。