| 会社名 | 愛知県がんセンター |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | サーバ |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/性別/生年月日/住所 |
| 漏洩件数 | 183件 |
| 漏洩日時 | 2021/5/31~7/14 |
| 発表日時 | 2021/9/8 |
愛知県がんセンターにて不正アクセスにより個人情報が流出の恐れ。同センターにて、医師1名がメールや共有ドライブで利用しているクラウドサービス「Microsoft 365」のアカウントのパスワードが窃取され、不正アクセスを受けたことにより、患者の個人情報が流出した可能性があることが判明した。
同医師は、メールの調子がおかしいことに不審に思い、同センター医療情報管理部が調査を開始。調査の結果、海外から当該アカウントに対する不正アクセスが確認されたため、当該アカウントの停止を行った。その後の詳細な調査の結果、送受信のメールの中に、パスワードロックのない当該患者情報を含むメールがあり、攻撃者が当該メールを閲覧可能状態であったことから、流出の恐れがあると判断した。なお、メール以外のサービスへの不正アクセスや、不正プログラムおよびフィッシングサイトへのアクセス等は確認されておらず、他職員のアカウントの調査の結果、不正アクセスは確認されていない。また、当該アカウントのパスワード窃取の原因は不明であり、当該情報の流出の可能性については、センター内の個人情報保護のルールでは、パスワードを設定することになっていたが、守られていなかったことが原因であるとしている。同センターは、全職員へのクラウドサービスのパスワードリセットおよび多要素認証を導入し、ファイアウォールの設定の強化を実施した。