テストサーバから個人情報流出

国土交通省管轄の淀川河川公園の施設予約サイト「よどいこ！」のテストサーバに対し、第三者による不正な外部通信があり、利用者の個人情報が流出した可能性がある。サーバ内には個人情報約3万4000件が保存されていた。氏名、性別、生年月日、住所、電話番号、メールアドレス、銀行口座のほか、同サービスのログインIDとパスワードが含まれる。メールアドレスと銀行口座については暗号化していた。

テスト環境はセキュリティが甘くなる要素がいくつかある。
・ライセンスコストを抑えるため、縮退したセキュリティ構成になる。
・専任の常駐監視要員は不在
・複数のエンジニアが監督者不在でテスト環境にアクセスする
・アプリの入れ替えなどでデータを監視されていない共有サーバに退避し、放置される。

など、これ以外にも安全性が担保されない場面は複数存在する。

しかし、発注側もテスト環境は業者任せにしてしまうので、リスクの実態把握が疎かになる。

システム改修をする際は、テスト環境の安全管理措置の項目を立てたシステム開発委託契約を取り交わすことをお勧めします。