事故から学ぶ

高砂市公式アプリ「たかさごナビ」への第三者からのアクセスの可能性について

事故概要

業種 市 地方自治体
発生時期 2021/2/1-2021/2/8
漏えい人数 8367
事故概要

本市の公式アプリ「たかさごナビ」は、クラウド型システムを活用して運用しておりますが、令和3年2月8日、委託業者から、同システムの情報の一部が第三者からアクセスしうる状態であった旨の報告がありました。
同システムの設定変更は令和3年2月1日に行われており、現在は、問題のある状態は解消しております。また、現時点において、本件の影響による被害等は確認されておりません。
当アプリをご利用の皆さまには、ご迷惑とご心配をお掛けしておりますことを、心よりお詫び申し上げます。
1 対象アプリ
高砂市公式アプリ「たかさごナビ」
市民の皆様と双方向で情報発信を行うためのスマートフォンアプリ。市民の皆様への情報発信のほか、レポート投稿やアンケート機能等を有する。
・令和2年1月 運用開始
・令和3年2月時点の登録者数 8,367名
2 概要
「たかさごナビ」が活用しているクラウド型システムにおいて、情報の一部が第三者からアクセスしうる状態であったことが判明し、システムログ(処理記録)が確認できた期間におけるアクセスの有無を調査した結果、その期間におけるアクセスはなかったことが確認できました。
1.調査対象期間
令和3年1月3日~2月2日
2.第三者からのアクセス
確認されなかった
3.事象判明日
令和3年2月8日に委託業者からの報告により判明。委託業者は、令和3年2月1日に当事象について把握・同日中に設定変更実施。
対象期間以前の状況については現時点で不明であり、現在調査依頼中。詳細が判明次第ご報告いたします。

引用元 高砂市

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

‘(第20条)安全管理措置
(第22条)委託先の監督 社内規則の整備(自社運用・外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?
委託先に保管管理依頼している情報機器の盗難、紛失防止の点検と棚卸を実施していますか?
情報機器の処分時は、事業者自らデータ消去を確認してから業者に引き渡していますか?

■ 推奨対策

対策:

マルウェア検査サイトを経由した個人情報漏えい事故が報告されている。マルウェア検査をしただけのつもりが、個人情報漏えいにつながってしまった。
本件で対象となっているマルウェア検査サイトは、そもそもの仕様として検査したファイルを検体として共有する機能を持っていた。
個人情報を含んだファイルを検査したことでそのファイルが会員企業などに共有され、漏えいとなってしまった。
利用するサービスの性質を理解した上で活用していかなくてはならない。

具体例:

委託先管理に含まれるのがクラウドサービスである。
クラウトサービス利用時に注意書きを最後まできちんと読むことなく利用を開始したため、想定外の情報共有や公開の設定をしてしまうことがある。
不慣れで引き起こした漏えい事故でも個人情報漏えいに変わりはない。利用前に口コミサイトなどで先人のミスや注意を他山の石として取り込むことである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。