本文
新型コロナウイルス感染症対策本部(調整本部)における個人情報の漏えい事案について
※令和3年2月9日 本事案における問題点及び再発防止策等を追加しました。
福岡県からのお詫び
本年1月6日、本県の新型コロナウイルス感染症陽性者に関する個人情報の漏えいが明らかになりました。
この漏えいにより、陽性であった方とそのご家族並びに関係者の皆様方に、ご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。
本事案は、県民の皆様のご理解、ご協力のもと、新型コロナウイルス感染症対策に取り組んでいる中で起きたものであり、県民の皆様の県行政に対する信頼を損ねたことにつきまして、重ねてお詫び申し上げます。
これまでの調査の結果、メールを誤送信した相手の方(以下「誤送信先」という。)、誤送信先から情報提供を受けた東京の報道機関5社及び系列の福岡の報道機関2社の他には漏えいがないことを確認しております。また、漏えい先にはデータの削除や印刷した資料の廃棄を要請し、それぞれ適切に対応したとの回答を得ております。
県では、このような事態を招いたことを重く受け止め、個人情報の取り扱い及び情報セキュリティ体制のさらなる強化に取り組み、再発防止に努めてまいります。
なお、陽性であったご本人やご家族等からの本事案に関するお問い合わせがございましたら、県の一般相談窓口(092-643-3288)へご連絡をいただきますよう、お願い申し上げます。
これまでの調査で確認したことは次のとおりです。
1 経緯
○ 県の調整本部は円滑かつ迅速な入院調整を行うため、必要な個人情報をクラウドに保存し、より効率的な業務に努めている。このような中、令和2年11月30日にそのクラウドへのアクセス権を付与したメールを1名の方に誤送信。
○ 同日、誤送信先から調整本部に宛先を間違っていると連絡があり、ただちに、誤送信先のアクセス権の削除を行ったが、削除処理が十分ではなく、誤送信先が個別のファイルを閲覧できる状態であった。
○ 令和3年1月5日、誤送信先は、依然としてファイルが閲覧できる状態になっていたため、ファイルのURLを東京の報道機関5社へ情報提供。
○ 1月6日、福岡の報道機関2社から県に対し取材があり、個人情報の漏えいが明らかになった。
2 漏えいの内容
令和2年2月20日から令和3年1月5日までの福岡県内の新型コロナウイルス感染症陽性者に関する情報 9,683人分
(氏名、居住地、年齢、性別、症状、既往歴、入院医療機関などが記載された4種類のファイル)
3 これまでの対応
○ 調整本部がクラウド上に保存していた新型コロナウイルス感染症陽性者に関する個人情報を含むファイルを削除。
○ 誤送信先に漏えいしたデータの保存や印刷した資料がないことを確認。
○ 誤送信先に、情報提供は東京の報道機関5社の他にはないことを確認。
○ 誤送信先が情報を提供した東京の報道機関5社に、データの削除や印刷した資料の廃棄を要請し、各社から社内規定に従い適切に対応したとの回答を得た。
○ 福岡の報道機関2社に対しデータの削除や印刷した資料の廃棄を要請し、2社から社内規定に従い適切に対応したとの回答を得た。
○ 陽性であったご本人やご家族等からの本事案に関するお問い合わせに対応するため、「専用ダイヤル」を設置。
4 謝罪
○ 保健医療介護部長が事案発覚当日(1月6日)に記者会見を開き、本事案発生の報告とPCR検査で陽性であった方などへ謝罪。
○ 知事が1月8日の記者会見で、陽性であった方などに謝罪。
○ 総務部長及び保健医療介護部長が1月12日に、各所管の常任委員会で謝罪。
○ 調査の結果、漏えい先は誤送信先1名及び報道機関の他にはないことを確認したことから、陽性であった方及びそのご家族並びに関係者に、不要な不安を与えご心配をお掛けしたことをお詫びするため、1月29日に県ホームページに、1月31日に新聞4紙に謝罪文を掲載。
5 問題点
県は、個人情報を調整本部に提供する際に、以下のような当該個人情報の安全を確保する措置を十分に講じていなかった。
1. 調整本部で入院調整を行う者が陽性者の情報を共有する場合に、ファイルに対するアクセス制限の管理や閲覧制限の設定等、セキュリティ水準の提示
2. 情報漏えい等が明らかになった際の報告ルールの事前整備・共有
6 再発防止策等
(1)全庁的取組み
関係課長は、調整本部をはじめ県以外の者に個人情報を提供する場合には、個人情報保護条例の規定に基づき、提供する個人情報の安全を確保するための必要な措置を講ずることを、あらためて各所属長を通じて全職員に周知徹底する。
※必要な措置の具体例
・提供する個人情報(電子情報を含む)の保管場所・方法等の指定
・提供する個人情報の廃棄・返却時期の特定
・安全確保上問題が生じた際の速やかな報告の徹底
(2)調整本部における入院調整の業務改善
事案発覚以降は、紙や電話による情報共有を行っていることから、業務が煩雑化しており、円滑かつ迅速な入院調整を行うため、クラウドを活用した調整を近く再開する。再開にあたっては、だれが、いつ、情報にアクセスし、どのような処理を行ったか確認できるなど、セキュリティの高いファイル共有サービスを活用することで、より安全に調整業務を行う。