厚労省受託で情報流出、外部アクセス可能な名簿データURLを誤送信



画像:厚生労働省より引用

厚生労働省は2021年8月26日、同省が実施するキャリアコンサルタント向け研修事業において、受託企業による不適切な情報管理およびメール誤送信が発生し、受講生1,106名の氏名や連絡先を記載した名簿データが流出したと明らかにしました。

厚労省によると、流出を起こした受託企業は2021年6月25日、組織内向けの電子メールを誤送信し、研修申込者1名に送信するミスを起こしました。誤送信メールには受講生1,106名らの情報を記録した外部アクセス可能なクラウドサーバーのURLが記載されていましたが、そもそも同省では委託時の仕様書にて、アクセス可能なクラウドサーバーでの情報管理を認めていなかったとのこと。

同省はこのため、受託企業においてメール送信業務における確認不足および不適切な情報管理があったと判断。受託企業に適切な情報管理を取るよう注意するとともに、情報セキュリティ監査を実施すると決定しました。

誤送信メールは削除済

厚生労働省によると、流出を起こした受託企業は誤送信先となった研修申込者および流出被害者らに個別に連絡を取り、謝罪しました。

また、流出先となった研修申込者においてはメールの削除を依頼しました。誤送信メールは記事発表時点で削除されており、名簿データの二次利用もされていないことを確認しているとのこと。

なお、受託企業は今後、従業員に対する情報セキュリティ教育を実施し、再発を防止するとのことです。

参照委託事業における個人情報漏えいについて