事故から学ぶ

TOP > 事故事例一覧 > 「IT導入補助金」サイトで情報流出

2023/12/22

「IT導入補助金」サイトで情報流出

業種	補助金事業
発生時期	2023/8/1から2023/12/12
漏えい人数	38,269
事故概要	中小企業におけるITツールの導入を支援する「IT導入補助金事業」の同補助金2023年後期のウェブサイトで、個人情報が流出した。事務局のTOPPANによると、8月1日から12月12日1時半ごろにかけて登録情報が外部に流出したことが判明したもの。原因はウェブサイトのプログラム不備で、外部から非公開情報にアクセスできる状態となっていた。外部から指摘により判明した。対象となるのは、ITツールの導入を支援するITベンダーやサービス事業者が入力した事業者情報やITツールに関する情報。価格情報のほか、役員の氏名、担当者、実施者、販売者に関する氏名やメールアドレスなど個人情報3万8269人分が流出した可能性がある。すでにシステムの修復は終えており、対象となる関係者にメールで連絡を取っている。情報流出による二次被害などの報告は寄せられていない。 TOPPANは、システム設計段階におけるセキュリティ機能の検証を強化し、再発防止を図りたいとしている。
引用元	Security Next

事故の原因はチェックリストの下記項目が該当すると推察します。

システムの設定ミス
システムの点検、テスト不足

個人情報を収納したシステムを開発または修正した場合は、個人情報保護の視点でシステムの点検、テストを十分に行うこと

システムテストはシステム開発部門が設計した「動作確認テスト」だけでは予想外の操作に対応できないことがある。システム屋の常識はユーザ部門の非常識になる。

「個人情報保護の視点でテストを行う」方法は、システム開発時に行う動作確認テストとはことなり、ユーザ部門も参加させて操作者の目線で情報保護に問題が生じないかのテストを行うこと。