福岡県の新型コロナ感染者情報の漏洩　個人情報保護法と要配慮個人情報

気温が下がり冬も本格的になると共に、新型コロナウイルスの第三波が猛威を振るっています。東京都の感染者数も1000人を下回ることが少なくなっており、緊急事態宣言も1月7日に埼玉県、千葉県、東京都、神奈川県へ、1月13日に栃木県、岐阜県、愛知県、京都府、大阪府、兵庫県、福岡県に再発令されました。
そしてこの新型コロナウイルスによって医療機関への緊張状態は続いており、医療崩壊が危ぶまれています。

福岡県で発生した新型コロナウイルス感染者情報の漏洩事故

医療機関が新型コロナウイルス対応に追われている中、福岡県の新型コロナウイルス感染症陽性者の個人情報が閲覧可能な状態となっていたことが1月6日に公表されました。クラウドストレージ上のファイルを参照するURLさえ知っていれば、およそ9500人の新型コロナウイルス感染者に関する氏名や居住地、年齢、性別、症状などの詳細な個人情報が2020年11月30日から2021年1月5日までの間、誰でも閲覧できる状態となっていました。

原因はアクセス権限を付与するメールの誤送信です。誤送信メールを受けた第三者は福岡県に指摘し、担当者はアクセス権限を改めましたが、ファイル自体への権限は残ったままとなり、今回の事故が発生しました。幸いにも、該当の男性以外への漏洩は確認できていないようです。

個人情報保護法の要配慮個人情報とファイル暗号化による漏洩対策

今回の事故で漏洩した新型コロナウイルスの感染情報などの病歴は、平成29年5月より施行された個人情報保護法上では、犯罪歴などと同様に差別や偏見が生じる恐れがある「要配慮個人情報」とされています。

この要配慮個人情報は、より厳重な管理が求められており、第三者へ提供する際はオプトアウト（本人が明確に拒否しない限り同意したと見なす）方式も禁止されているなど、他の一般的な個人情報とは扱いが大きく異なります。

項目	内容
人種	人種、世系又は民族的若しくは種族的出身を広く意味します。 例えば「在日〇〇人」「日系〇世」などの情報が該当します。
信条	個人の基本的なものの見方、考え方に関する情報を意味します。 信仰する宗教、政治的・倫理的な思想などの情報が該当します。
社会的身分	その人の境遇として固着していて、一生の間、自らの力によって容易にそれから簡単に脱し得ないような地位を意味します。 例えば、「非嫡出子」「被差別部落の出身」などの情報が該当します。
病歴	病気に罹患した経歴を意味します。 例えば、「がんに罹患している」「統合失調症を患っている」などの情報が該当します。
犯罪の経歴	前科、すなわち有罪の判決を受けこれが確定した事実が該当します。
犯罪により害を被った事実	身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味します。

また個人情報保護法の中で、個人情報を漏洩から防ぐために「高度な暗号化等による秘匿化を講じることは望ましい」とされています。つまり万が一、DataClasysなどのファイル暗号化ソリューションによって暗号化された個人情報のファイルが流出したとしても、情報を漏洩された本人への連絡は省略することが認められます。

クラウドストレージの設定ミスなど不注意による情報漏洩への対策の必要性

インターネット接続のみでファイルを共有できるクラウドストレージは広く普及し、今では様々な現場で利用されています。その一方で、クラウドストレージへのアクセス権限の設定ミスによる情報漏洩事故も多発しています。場所を問わず利用できるクラウドストレージの便利さは、今回の事故のような設定ミスが発生すると、脅威へ一転します。

どこからでも情報を利用できるクラウドストレージが普及することで、ゼロトラスト・セキュリティに基づく情報漏洩対策がより強く求められます。そして今回の原因となった不注意は、体調や精神状態などによって誰にでも起こり得るものです。不注意による情報漏洩へも対応できるよう、根本的な情報漏洩対策を講じることが、最終的に個人や組織を守ることに繋がります。