東京都の再委託先がフォームを誤設定、スマホサポーターの個人情報が閲覧可能に
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・フォームの設定ミスが発生する主な原因
・入力するフォームを安全に利用する方法
今回の解説ニュース
フォームの設定ミスが原因で、個人情報が漏洩してしまったということです。フォームの設定ミスが発生する主な原因と、入力するフォームを安全に利用する方法について説明します。
今回のインシデントは、フォームの利用者等が一定の操作を行うと、フォームに登録した個人情報が閲覧できる状態になっていたというものです。当該フォームに登録した利用者から連絡があり、発覚しました。原因として、フォームから登録された個人情報の閲覧権限は再委託先の担当者にのみ設定されるべきでしたが、フォームに登録したすべての利用者等に閲覧権限が誤って設定されていたことが挙げられています。
対策として、個人情報が漏えいした対象者に東京都職員が電話で連絡し、経緯の説明と謝罪を行っています。再発防止策として、委託先及び再委託先に厳重注意を行うとともに、今後は両社に対し、個人情報の取扱いに関する再点検の実施、業務遂行におけるダブルチェックの徹底、関係職員への教育指導を徹底するということです。
フォームの設定ミスが発生する主な原因
フォームの設定ミスが発生する主な原因として、知識不足や不注意、体制の不備が挙げられます。
まず、フォームの設定ミスが発生する原因として、フォームの機能や設定項目を十分に理解していない可能性があります。セキュリティリスクに対する認識が低い場合、個人情報保護に関する知識も不足しており、公開してよい情報か正しく判断できていないことが考えられます。
また、不注意により、操作ミスや入力間違いが発生する可能性があります。時間的制約がある中で作業していたり、担当者が頻繁に変更されていたりすると、ヒューマンエラーにより誤った設定のまま公開されてしまうこともありますので、注意が必要です。
仮に、一人の担当者が属人的にフォームを作成していると、設定ミスが発生する可能性があります。フォーム作成に関するマニュアルや手順書を整備して、複数人で責任分担し、管理する体制が求められます。