【セキュリティ事件簿#2024-207】鳥取県 消防防災航空センターホームページおける個人情報の漏えい 2024/5/21

消防防災航空センター
 

消防防災航空センターがとりネットで公開しているヘリコプターの「運航の手引き」の中に、実際の救助事案の報告書を添付していたため、要救助者の個人情報がインターネット上に漏えいしました。

該当者には、消防防災航空センターより状況を説明し、謝罪しました。また、インターネット上に残っていた個人情報のデータも削除されていることが確認できました。

今後、同様な事案が起きないよう再発防止対策を講じて個人情報の適切な管理に努めます。

1 事案の概要

消防防災航空センターでは、災害発生時に効果的かつ安全に活動するための基本的事項を「運航の手引き」としてまとめ、ホームページで広く一般の方へ公開している。

このうち「鳥取県消防防災ヘリコプター運航管理要綱」に実際の緊急運航時の報告書を添付していたため、要救助者の個人情報がインターネット上に漏えいした。

2 漏えいした個人情報及び期間

○漏えいした個人情報(要救助者1名)

 (1) 住所、氏名、電話番号、生年月日、遭難の日時・場所、傷病者の状況

 (2) 接触時の状況及び対応

○漏えいしていた期間

 令和5年2月18日~令和6年3月10日

  • このうち令和5年2月18日から令和6年2月25日までは、(1)(2)とも個人情報をPDFファイル上で白塗り(一部非開示)した状況で公開した(画面上では見えないが、データとしては確認できる状態)。

  • 令和6年2月25日の更新時に白塗りの位置がずれ、(1)の情報がホームページ上で閲覧できる状況になっていた。

3 経過

  • 3月10日に、隊員が消防防災航空センターホームページ上の当該ファイルに個人情報が記載されていることに気づき、ホームページから個人情報が含まれたファイル及び当ファイルへのリンクを削除した。

※ホームページ上のファイルは削除したが、記載されていたデータがインターネット上に残っており、検索は可能な状況であった。

  • 消防防災航空センター所長から該当者に連絡し、情報漏えいを謝罪した(後日、文書で謝罪するとともにホームページに掲載していた情報を説明)。

  • 5月、インターネット上に残っていた個人情報のデータが削除されたことを確認した。

第3者が当該個人情報を閲覧したり、他のサイトにデータを転載した情報は入っていない。

4 発生原因

○情報セキュリティ管理に関する意識の低さ、手順・ルールの認識不足

  • 隊員がPDFファイル等の「非公開情報の上に図形等をかぶせ、人が読めなくする方法では、データを消したことにならない」という認識が不足していたため、個人情報の入った報告書を白塗りした様式を作成した。

○決裁過程及び公開前におけるチェック不足

  • 紙文書で回覧・決裁を行っており、個人情報が白塗りで隠されていることに気付くことができなかった。

  • 白塗りの位置がずれて個人情報が閲覧できる状態となっていることに気付かず掲載した。

5 再発防止策

○情報セキュリティ管理に関する意識の低さ、手順・ルールの認識不足

  • 情報セキュリティ管理の基本について隊員に周知し、情報セキュリティへの意識を高め、個人情報が含まれているファイルは公開用文書の作成に利用しないよう徹底する。

○決裁過程及び公開前におけるチェック不足

  • ホームページで公開する文書は必ずデータで確認するよう回覧・決裁の仕方を見直す。

  • 他の隊員による最終確認を徹底する。