滋賀労働局(局長 多和田 治彦)は、委託事業受託者である一般社団法人滋賀県病院協会において発生した個人情報の漏えい事案について、以下のとおり当該事実を確認の上、必要な措置を講じましたので、概要をお知らせします。
1 事案の概要
滋賀労働局及び滋賀県は、一般社団法人滋賀県病院協会(以下、「病院協会」という。)に対し、「令和6年度 医療労務管理支援事業」を委託しており、病院協会は「滋賀県医療勤務環境改善支援センター」(以下、「勤改センター」という。)として事業を行っている。
令和6年4月 11 日、勤改センター職員が、業務用端末の操作中にサポート詐欺に遭い、Outlook メールファイルが消去された。ウイルス感染は確認されなかったが、メールファイルデータが消去され、端末が一時的にリモート操作されていた可能性がある。
同データ内の勤改センター関係のデータには、勤改センターがアドバイザーとして委託契約する社会保険労務士6名の氏名及びメールアドレス(うち3名は加えて金融機関口座番号及び印影)の個人情報が含まれており、これら個人情報漏えいのおそれがある事案が発生したもの。
2 事実経過
(1)令和6年4月 11 日
勤改センター職員Aが、休憩時間中に業務用端末から Web ページを閲覧中、警告音とともに Microsoft 社へ電話するよう警告画面が表示された。
職員Aが表示された電話番号に架電し、外国人らしき人物から指示された URL へ誘導されアクセスした。続いて、コンビニエンスストアでプリペイドカードを購入するよう指示されたため、不審に思い、勤改センター職員 B に伝えたところ、職員 B は当該端末の電源を落とし、職員Aは切電した。
その後、職員Bから当該端末のリース会社に連絡。リース会社はリモートで当該端末のチェックを実施。その結果、リース会社は端末を引き取り確認することとなった。
(2)令和6年4月 12 日
リース会社に端末を引き渡した。その際、端末内データを USBに保存。
(3)令和6年4月 19 日
リース会社より初期化後の端末納品。USB 内データを端末に戻した。リース会社によると、
・端末及び USB データにウイルス感染はない。
・Outlook メールファイルについては復元できなかった。
・データが流出したかどうかの判断はできない。
とのことであった。
(4)令和6年5月9日
勤改センター職員 C から滋賀労働局雇用環境・均等室に対し、「勤改センター業務でリース契約している業務用端末の、初期化費用の委託費計上について確認したい。」との問い合わせがあり、初期化を行った理由を確認したところ、ウイルス感染の可能性が判明した。
(5)令和6年5月 14 日
情報セキュリティインシデント事案の可能性があることから、雇用環境・均等室長、同室監理官が勤改センターに赴き、職員A及びリース会社担当者から事情聴取し、上記(1)~(3)の経過を確認した。同日、雇用環境・均等室長から職員 A に対し、今後、私用での業務用端末使用の禁止及び不審サイト・メールが表示・受信された場合は、直ちに通信遮断するよう指示を行った。
(6)令和6年6月3日
職員 A より、個人情報に金融機関口座番号及び印影が含まれていた3名のアドバイザーに対し架電のうえ謝罪訪問について打診するも、「被害もないので訪問不要」とのことであったため、当該事案の概要を説明のうえ、自身の不注意により個人情報漏えいのおそれがあることを伝え謝罪した。
(7)令和6年6月 10 日
滋賀労働局雇用環境・均等室長がアドバイザーあて架電。経緯を説明のうえ謝罪を行った(うち1名は6月 13 日に来局し、その際に説明及び謝罪)。
(8)令和6年6月 12 日
病院協会において開催された勤改センター月例会議において、病院協会事務局長が本件概要及び原因・再発防止策について説明のうえ謝罪した。
(9)令和6年7月2日
職員 A より、(7)以外の3名のアドバイザーに対し架電のうえ謝罪訪問の申し入れを行うも、特に迷惑を被っておらず訪問不要とのことであったため、電話による謝罪とともに再発防止策を伝えた。
4 発生原因
(1)直接の原因は勤改センター職員の情報セキュリティ、個人情報保護に関する認識、知
識の低さを要因とした以下の情報セキュリティに対する危険行動。
・私用での業務端末の使用
・警告画面表示後の通信の遮断をしなかった
・不審画面に誘導されるまま、不審サイト(URL 入力)へアクセスした
(2)間接原因として、受託事業者である病院協会における情報セキュリティ、個人情報保
護に関する教育、周知不足。
5 再発防止策
【勤改センターにおける取組】
●実施済の措置
(1)令和6年4月 19 日、22 日、病院協会において、以下の情報セキュリティ対策としての基本行動等を勤改センター担当職員に対し周知、徹底したほか、悪意のあるメール等
の手口の共有と注意喚起を行った。
・私用での業務用端末の使用禁止
・個人情報が記載されたデータのメール送信時には必ずファイルにパスワードを設定すること
・業務で使用するインターネットサイトを限定し、専用フォルダ内に当該サイトの URLを集約し、インターネットのアクセスは当該フォルダからのみ行うこと
(2)令和6年5月 16 日、病院協会内の職員間のデータのやり取りはクラウド上の「Shareフォルダ」で行い、その後、限られた職員(2名)が管理するパスワードを設定した専用フォルダにデータを保存し、「Share フォルダ」内の同データファイル及び電子メー
ルデータは削除することとした。
●今後実施予定の措置
(1)情報セキュリティ対策の包括的規定として情報セキュリティハンドブックを策定し、
職員に周知徹底する。(7月中旬)
(2)勤改センター職員の情報セキュリティ対策の意識を向上させるため、滋賀県警主催のサポート詐欺防止講習を受講させ、今後毎年、複数回の情報セキュリティ研修を受講させる。(8月1日)
(3)毎年、複数回のセキュリティチェックを実施する。
(4)万が一、悪意のあるメールの受信、サイトへのアクセスなどに備え、抜線による通信遮断が行えるよう、滋賀県病院協会内の業務用端末の通信方法を無線から有線へ変更予定。(7月中)
【滋賀労働局における取組】
●実施済の措置
(1)令和6年5月 14 日、雇用環境・均等室長から職員 A に対し、今後、私用での PC 端末の使用の禁止と不審サイト・メールが表示・受信された際は、直ちに通信遮断することを指示。
●今後実施予定の措置
(1)今後、上記研修の受講状況を直接、勤改センター職員に確認するほか、毎年受託事業
が実施する上記研修のうち少なくとも1回は当局雇用環境・均等室職員が情報セキュ
リティ研修と個人情報漏えい防止に関する研修を実施する。