【セキュリティ事件簿#2023-270】公立学校共済組合 個人情報漏えいについてお詫びとご報告 2023年7月25日


公立学校共済組合兵庫支部が保有している人間ドック受診決定者の個人情報について、人間ドックシステム保守業務を委託している業者(㈱ファインシステム)の不適切なデータの取り扱いに起因して、2020年度に実施した1医療機関分(301名)の個人情報が、インターネット上で閲覧可能な状況になっていたことが判明しました。なお、現在のところ、本件に関しての被害等の報告はございません。

今回の件でご迷惑、ご心配をおかけした皆さまにお詫び申し上げますとともに、再発防止に取り組んでまいります。

1 事案発生の経緯と対応

(1)令和5年7月14日(金)
  • 組合員の方から「インターネットで自分の名前を検索したところ、人間ドックの受診決定一覧が閲覧可能な状態である。」旨の連絡により発覚した。
  • 人間ドックシステム保守管理業者である㈱ファインシステムに連絡し、業者のテスト公開用のサーバーに個人情報が含まれたファイルが存在していることを確認。直ちに当該ファイルが表示されないようサーバーのインターネット接続を切断
  • 各検索サイト事業者に対して本件に関する情報の削除を依頼
(2)令和5年7月15日(土)削除完了
(3)令和5年7月18日(火)流出原因の調査、対応策の検討
(4)令和5年7月20日(木)
  • 2020年度当該医療機関の人間ドック受診が決定した301名に対して本件に関するお詫び文書を発送
2 漏えいした情報

「2020年度人間ドック医療機関別受診決定者一覧」のうち1医療機関 301名分
    • 内容:組合員番号、所属名、所属電話番号、組合員氏名、当時の年齢、性別、住所(自宅・所属)
    • 閲覧可能期間:令和2年12月17日~令和5年7月14日
 ※受診決定者の一覧にある氏名で検索した場合のみ表示される。

3 漏えいの原因

(1)令和2年12月17日 ㈱ファインシステムが公立学校共済組合兵庫支部において 人間ドックシステムのメンテナンス作業を行った後、システムの修正内容を再確認するため、システムのプログラムデータをUSBメモリにコピーし持ち帰った。※そのデータの中に個人情報の入ったデータが含まれていた。

(2)同日、USBメモリにコピーしたプログラムデータを㈱ファインシステムのテスト公開用サーバーにコピーした。テスト公開用サーバーはインターネットに接続可能な状態にあったため、個人情報が含まれるデータは外部から閲覧可能な状況になっていた。

4 今後の対応

(1) ㈱ファインシステムでは再発防止のため①USBを用いないデータ受渡作業 方法の検討②インターネットからアクセスできないサーバーでの作業の実施③サーバー適用作業時には複数人で確認するなどの措置を講じます。

(2) 公立学校共済組合兵庫支部では、改めて委託業者による個人情報の取扱いに係る責任体制の強化を求めるとともに個人情報の適正管理方法の周知徹底を図ってまいります。

リリース文アーカイブ