2021年1月6日福岡県が管理している新型コロナ患者の名前や住所など、およそ9,500人分の個人情報がインターネット上に漏れていたことがわかりました。

今回、インターネット上上で、第3者がアクセスできるようになっていたのは、福岡県が作成した新型コロナの陽性患者に関する複数のファイルとなるようです。

ファイル内容の詳細

確認された内容は下記の通りです。

・氏名

・年齢

・住所

・症状

上記内容が掲載された患者一覧表になります。

 

経緯

福岡県は今回の事故の経緯として下記の通り公表しています。

・ 令和２年４月、新型コロナ陽性者の入院調整のため、調整本部が作成した陽性者のデータを医療関係者間においてクラウド上で共有を開始。
（このクラウドは、調整本部から送られた特定のURL指定によりフォルダに直接アクセスするか、又は調整本部からアクセス権を付与された者しか利用できない。）
・ １１月３０日、調整本部から医療関係者１名へ患者情報等が含まれるファイルが入ったフォルダのアクセス権が付与されたメールを送信。
その際、本来送付するべきアドレスと酷似していた男性のアドレスあてに誤送信。
・ 同日、同男性から宛先を間違っている旨、調整本部に連絡があり、即日、上記ファイルが含まれるフォルダについて同男性のアクセス制限対応を実施したが、個別のファイルへのアクセス制限がなされていなかったため、ファイルのURLに直接アクセスすれば利用可能な状態が継続。
・ 令和３年１月６日、一部報道機関からの取材により、個人情報の漏えいが発覚。

※福岡県公表内容より一部抜粋

 

本事故の影響

新型コロナ陽性者の情報は個人情報保護法上の要配慮個人情報に該当します。

要配慮個人情報には一般の個人情報より厳しい管理義務（第三者への提供には必ず本人同意が必要など）が課されています。福岡県条例でも、こうした「要配慮個人情報」の収集が原則禁止されています。

 

今回は個人情報の取扱いにおいて、個人情報保護法ではなく福岡県個人情報保護条例が適用されますが、こうした「要配慮個人情報」の収集が原則禁止されています。

例外的に行政事務目的達成のため広く認められているため、収集・利用されているものと考えられます。

 

漏えい等が起きてしまった場合、本人への影響としては差別などが考えられます。

 

以前に愛知県でもコロナ感染者の情報が一時的にインターネット上に公開された事故がありました。

インターネット上に公開され、コピー等されてしまうと完全に削除されることはないものと考える必要があります。

 

半永久的に漏えいした人の病歴の情報がインターネット上に残ることは精神的な苦痛を伴うものとなります。

 

今後の対策

まだ、福岡県も再発防止策等の公表までは行っていませんが、クラウドサービス上での共有の際に起きたアクセス権の誤設定なるため、アクセス権付与時の設定確認などが考えれます。

 

クラウドサービスは便利ですが、要配慮個人情報をクラウドサービスで管理する際には通常以上にリスクを想定・分析し、アクセス権等を付与する人もチェックを厳重にすることが大事と言えるでしょう。