事故から学ぶ

PCR検査結果など約130万人分の個人情報が流出  インドネシア

事故概要

業種 行政の職員
発生時期 2021/5/1
漏えい人数 1300000
事故概要

インドネシア保健省は8月31日、新型コロナウイルスの接触追跡用アプリケーション「ヘルスアラートカード(e-HAC)」に登録されているPCR検査結果やパスポート情報など、約130万人分の個人情報が漏洩した可能性があると発表した。
オンライン上で会見を行った同省データ情報センター長のアナス・マアルフ氏は「このアプリは7月2日以降、既に使用されていない」とした上で「政府は国民にアプリの削除を求めているところだ」と話した。現在、ジャカルタ特別州などではe-HACに代わり、新型コロナウイルス感染の検査・ワクチン接種管理用アプリ「プドゥリリンドゥンギ(PeduliLindungi)」の使用が空港利用時やショッピングモール入場時などで義務付けられている。同氏は「『プドゥリリンドゥンギ』のサーバーは、通信情報省や国家サイバー暗号庁が監督する国家データセンターに設置されており、安全上の問題はない」としている(「ジャカルタ・ポスト」紙8月31日)。
相次いで発生する個人情報漏出事故
インドネシアでは大規模な個人情報漏出事故が相次いで発生している。7月に生命保険会社BRIライフの約200万人分の顧客情報が漏れた(「テンポ」7月29日)。2020年5月には地場大手Eコマースプラットフォーマーであるトコペディアの約9,100万人分の顧客情報がインターネット上に流出し、不当に売買されていたことが判明している(「ジャカルタ・ポスト」紙2020年5月5日)。データプライバシーを専門とするパジャジャラン大学法学部のシンタ・デウィ・ロサディ助教授は「インドネシアでは現在、『電子システムと取引の運用に関する政府規制2019年第71号外部サイトへ、新しいウィンドウで開きます』など個人情報保護に関する法律は存在するものの、適用範囲や効果は限定的だ」とし、さらに「個人情報の漏出が起きた際に誰が責任を負うか明確に定められていない」と指摘する(「IDNタイムズ」紙5月24日)。一方、国会で審議中の「個人情報保護法案PDFファイル(外部サイトへ、新しいウィンドウで開きます)」には、個人情報を不適切に扱った者に対し、禁錮刑もしくは罰金刑を科すとの規定があり、今後の国会での議論に留意する必要がある。

引用元 ジェトロ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第21条)従業者の監督 作業ルールの徹底
(ホームページ・メール本文誤開示防止、アプリケーションの確認)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。