コロナ陽性者の個人情報9500人分が流出 クラウドのアクセス権を誤って公開状態に 福岡県が謝罪

福岡県は1月6日、県が管理していた新型コロナウイルス感染症の陽性者9500人分の氏名、住所などの個人情報がクラウドサービス上で外部から閲覧できる状態だったと発表した。県は「誠に申し訳ない」と謝罪し、再発防止に努めるとしている。 閲覧できる状態だったのは、県内でこれまで確認された陽性者ほぼ全員の氏名や住所の他、年齢、性別、症状などの情報を記載した内部文書。2020年4月から県が作成、管理していた複数のファイルをクラウドサービスに保存し、医療従事者と入院患者の受け入れ調整をやりとりする際に使っていたという。 福岡県によると、県とやりとりを行っていた医療従事者が20年11月30日、陽性患者の個人情報を含む複数のファイルなどへアクセス権限を付与するメールを外部に誤送信。同日、メールを受け取った男性から県へ連絡があり、フォルダやファイルを第三者が閲覧できる状態が発覚した。県などは即時に男性のメールア

[ustam]

これは「URLを知っていれば誰でもアクセスできる」ではなく「URLを知らなければ誰もアクセスできない」セキュリティーだからね。URLが漏れたことと、利用が終わったのに「非公開」にしなかったことが問題。

[debabocho]

クラウドが問題じゃなくてメール誤送信だよねこれ。仮にデータがローカルのPCの中でも、この人ファイルを添付してバラ撒いてたはず。

[and_hyphen]

URLで共有するの結構危ういので本当に管理に気をつけたい（基本は必ず期限を切って無効になるようにしている）

[mannin]

Google Docsベースで作業してたとかかなあ…

[straychef]

ウイルスより怖い

[mutevox]

“県などは即時に男性のメールアドレスからフォルダへのアクセス権限を削除したが、URLを知っていれば誰でも個別のファイルにアクセスできる状態が続いていたという”

[deep_one]

「即時に男性のメールアドレスからフォルダへのアクセス権限を削除した」と「URLを知っていれば誰でも個別のファイルにアクセスできる状態が続いていた」がつながらない。前者はアカウントベースの共有を意味する。

[tsukitaro]

県とやりとりを行っていた医療従事者が11月30日、陽性患者の個人情報を含むファイルなどのURLをメールで外部に誤送信。同日、メールを受け取った男性から連絡があり、ファイルを第三者が閲覧できる状態が発覚。

[jt_noSke]

こ(そ)うかい

[augsUK]

ビジネス用でなく個人アカウントのスプレッドシート共有だったり

[cinefuk]

『 #福岡県 は2020年4月からファイルをクラウド保存し、医療従事者と入院患者の受け入れ調整の際に使っていたが、11月に医療従事者がメール誤送信。URLを知っていれば誰でもファイルにアクセスできる状態が続いていた』