愛知県がやってしまいました。
5月5日、同県の新型コロナウイルス感染症に関するWebページ上への患者に関する非公開情報が誤掲載されてしまっていました。
そのエクセルファイルには一体、どんな情報が。
【愛知県】新型コロナウイルス感染者の氏名等誤掲載495件
愛知県新型コロナウイルス感染症に関するWebページに患者の個人情報が誤って公開されてしまいました。
時系列としては
- 5月4日午後9時30分ごろ:5月5日午前9時15分に「県内発生事例一覧表」が掲載されるよう予約。この際に登録したファイルが患者の非公開情報を含むファイルだった。
- 5月5日午前9時30分ごろ:患者の非公開情報を含む「県内発生事例一覧表」ファイルが掲載される
- 5月5日午前10時5分ごろ:県民から問い合わせの電話で発覚。
- 5月5日午前10時15分ごろ:該当ファイルを削除し閲覧できないよう対処
というものです。
エクセルファイルに含まれていた誤って掲載された患者の非公開情報の内容とは?
エクセルファイルに含まれていた誤って掲載された患者の非公開情報は、愛知県内発生事例1例目から495例目までの患者の
- 氏名
- 入院先医療機関
- 入院日
- 転院先医療機関
- 転院日
- 退院日
- 発生届提出保健所クラスターの名称及び分類
というからかなり問題です。
これは相当焦ったでしょう。
本来は別のエクセルファイルで管理していた
- 発表日
- 年代・性別
- 国籍
- 住居地
- 接触状況
- 備考(県、名古屋市又は中核市別の発生事例番号)
を公開予定だったそうです。
本来掲載される予定だったものがこちらです。
誤掲載の原因
誤掲載の原因ですが、愛知県では新型コロナウイルス感染症の患者の情報をエクセルファイルで管理していて、Webサイトへアップする際に非公開情報を削除してからアップするというオペレーションをしていたようです。
うーん、この手の仕事をしたことがある人ならわかると思いますが、ミスが発生しやすいタイプの運用ですね。
「削除し忘れミス」っていうのは本当に発生しやすいんですわ。
みなさん、こういうオペが発生する運用はやめましょうね。
さらに、Webページの作成者と承認者が同一人物だったというのですからこれは完璧すぎるくらいのミスまっしぐらパターンです。
こういうミスによるセキュリティ事故は会社によってはかなり致命的なものになりかねないので、ある程度の規模の会社だとセキュリティ関連部門がリスク管理しているはずです。
ただ、この運用(アップ前に削除、ダブルチェック無し)がされているということは、愛知県のセキュリティリスク管理は少々甘いのかな、と思います。
今後の対策
この手のセキュリティ事故が発生した場合は、必ず再発防止策の提示が必要になりますね。
愛知県では、今後、個人情報が掲載されたExcelファイルとは別にWebページに掲載するExcelファイルを作成しPDFファイルに変換しWebページに掲載するとともに、複数人で個人情報に係わる項目が無いかの確認を徹底し再発防止に努めるとのこと。
5月4日といえばゴールデンウイークで本来であればお休みの日。
県の職員さんかはわかりませんが、休日を返上してお仕事をしていたのだと思います。
しかも、夜の9時30分。。。
みんなで新型コロナウイルスと戦い、打ち勝ちたいですね。
コメント