佐賀市のサイト、市民が送信したマイナンバーカード画像など外部から閲覧できる状態に
佐賀市の公式Webサイトで、問い合わせフォームから送信された画像データがインターネット上で閲覧可能な状態になっていた。マイナンバーカードや免許証の写真など、個人情報を含む画像113件が、外部から閲覧できる状態だったという。
佐賀市は3月2日、同市の公式Webサイトで、問い合わせフォームから送信された画像データがインターネット上で閲覧可能な状態になっていたと発表した。マイナンバーカードや免許証の写真など、個人情報を含む画像113件が、外部から閲覧できる状態だったという。
サイト内の「電子提言箱」「各課へのお問い合わせ」のメール送信フォームを使って市に送信された986件の画像が、特定のURLを直接入力することで第三者が閲覧できる状態になっていた。
閲覧可能だった画像は986件で、うち113件は個人情報を含んでいた。内訳は、マイナンバーカード4件、マイナンバー通知カード2件、運転免許証2件、パスポート2件、申請書など。個人情報を含まないデータは、風景や浸水状況の報告写真、イラストなど計863件。
原因は、2019年10月のサイト改修時に新たに実装したメール送信フォームの画像添付機能に不備があったこと。改修は、委託先の企業・プライムが担当した。
メール送信フォームから送信された画像データは、サーバ保存後、メール本文とともに各課に送信される仕組み。サーバに保存された送信者情報や内容にはアクセス制限がかかっていたが、画像データのアクセス制限は適切に設定されておらず、特定のURLを直接入力すると閲覧できる状態だったという。
2月25日に情報提供を受け、問題のフォルダへのアクセス制限をかけ、データを削除するなど対策を行った。データを送信した人への連絡も進めている。データへの外部からのアクセスは982件あったが、すべて情報提供者によるものだったという。
市は再発防止策として、システム開発を外注する際、個人情報などが適切に保護されるよう仕様書に明記することや、個人情報保護対策についての説明を委託先に求め、適切にセキュリティが確保されているかの確認を徹底するとしている。
関連記事
- コロナ陽性者の個人情報9500人分が流出 クラウドのアクセス権を誤って公開状態に 福岡県が謝罪
福岡県が、新型コロナウイルス感染症の陽性者9500人分の氏名、住所などの個人情報がクラウドサービス上で外部から閲覧できる状態だったと発表。県は謝罪し、再発防止に努めるとしている。 - 京大、全職員と学生の個人情報を誤って閲覧可能に システム改修時のミスに半年間気付かず
京都大学が全教職員と学生の計4万人の個人情報が外部から閲覧できる状態だったと発表。学内の情報システムを改修した際のミスが原因で、公開状態のまま約半年間放置されていた。現時点で、個人情報の不正利用などの報告は入っていないという。 - 「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け
内閣サイバーセキュリティセンター(NISC)が意図せずに情報が外部から参照される可能性があるとして、米Salesforce.comの製品に関する声明を発表。設定の確認などを呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.