佐賀市、システム不備により個人情報が閲覧可能状態
- 元記事:佐賀市ホームページのシステム不備に関する報告
- HP:佐賀市
| 会社名 | 佐賀市 |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/住所/生年月日/マイナンバーカード/マイナンバー通知カード/運転免許証 |
| 漏洩件数 | 123 件 |
| 漏洩日時 | ~2021/2/26 |
| 発表日時 | 2021/3/2 |
佐賀市にて、システム不備により個人情報が閲覧可能状態。同市にて、ホームページのシステム不備により、「電子提言箱」、「各課へのお問い合わせ」のメール送信フォームを利用して同市へ送信された添付画像が、特定のURLを直接入力することにより、外部から閲覧可能状態であった。
秘書課宛に情報提供があり本件が発覚。同市HP管理業務受託者により当該フォルダへのアクセスを制限およびサーバー上のファイルをバックアップしたうえで削除を行った。また、当該フォルダへのアクセスログの解析をした結果、3台の端末からアクセスされていたことが確認されたが、3つのIPアドレスから画像にアクセスがあった982件は、全て情報提供者のアクセスであることが判明した。
同市HP改修に合わせて、メール送信フォームに画像添付機能を追加した際、メール送信フォームに入力された送信者情報や内容等のメール送信履歴は、第三者が閲覧できないようアクセス制限を設定したが、画像データには、第三者の閲覧ができないようなアクセス制限を適切に設定しておらず、特定のURLを直接入力することにより画像データを閲覧できる状態となっていたこと、また指示した処理が適切に実施されているかどうかの確認ができていなかったことが原因である。
同市は総務省、佐賀県へのインシデント報告をするとともに、当該関係者にお詫びと説明、市役所職員を騙る不審電話への注意喚起を行った。また、「佐賀市情報セキュリティポリシー」の外部委託等に関する契約事項の規定に、システムで利用されるデータの取扱いについて、データは残さない、外部との情報のやり取りを行うシステムの開発にあたっては、運用開始後に利用者から提供される個人情報等が適切に保護されるよう、開発仕様書に明記し、システム上での個人情報等の保護対策についての説明を求め、適切にセキュリティが確保されているか確認を徹底することを再発防止策としてあげている。
