【セキュリティ事件簿#2023-058】群馬県 DX産業人材育成支援事業における個人情報の漏洩について 2023年2月10日


群馬県が実施している「群馬県DX産業人材育成支援事業」において、受講生の個人情報(氏名・メールアドレス)が漏洩する事案が発生しました。 今後、このようなことがないよう管理・監督を徹底し、再発防止に万全を期してまいります。

1 概要

本県から委託を受け、当該事業の事務局を運営している有限責任監査法人トーマツ(以下、「事務局」という。)が受講生に対し、ファイル共有システムを通じて、研修開始時におこなったオリエンテーション(研修の進め方の説明、受講生による自己紹介を実施)を録画した動画ファイルを共有した際、事務局による同システムの設定・運用のミスにより、受講生の個人情報(氏名・メールアドレス)が同じ講座を受ける他の受講生でも閲覧できる状態にあったことが特定の受講生からの指摘で判明したもの。

2 経緯

2月1日(水曜日) 

 特定の受講生(オリエンテーション不参加者)から事務局に対し、ファイル共有システム上において、他の受講生の個人情報が閲覧できる状態にあると、個人情報管理の不備を指摘する連絡があった。

2月2日(木曜日)

 事務局は受講生からの指摘事項を確認後、直ちにファイル共有システムの使用を中止し、受講生が個人情報を閲覧できないように対応。

2月3日(金曜日)

 県は事務局からの報告を受け、事務局に対し、ファイル共有システムを使用していた期間内に受講生による個人情報へのアクセス、ダウンロード等の有無を調査するよう指示。

2月7日(火曜日)

 県は事実関係を確認後、個人情報の漏洩が該当する講座の受講生に連絡し、個人情報が他の受講生に閲覧され、漏洩したことを伝え、謝罪した。

3 個人情報の漏洩が該当する講座及び受講生数 

  • デジタルリテラシー向上講座 受講生20名   
  • DX推進人材(ビジネスプランナー)基礎講座 受講生20名   
  • データ利活用基礎講座 受講生20名
なお、複数の講座を受講している受講生がいるため、実人数としては50名

4 今後の対応

県は事務局に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底、受講者へのファイル共有時には複数名での確認の徹底等を指示した。