ファイル共有ソフトShare(シェアー)、Winny(ウィニー)を介した情報流出が3件明らかとなった。鹿児島市のオーエスティー社では、同社が運営しているソフトバンクモバイル代理店の顧客情報880件が流出。広島大医学部付属病院と広島赤十字原爆病院では患者情報195名分、青森県では県内児童の養護相談などの情報が流出した。
■ソフトバンクモバイルの販売代理店、顧客の個人情報880件が流出
ソフトバンクモバイルは16日、オーエスティー社(鹿児島県鹿児島市)が運営する販売代理店「ソフトバンク中山バイパス」の社員のパソコンから当該社員が独自に作成した顧客の個人情報を含むリストがファイル交換ソフトを介して流出したと発表した。
発表によると、流出したのは2006年9月1日から12月3日までの間に「ソフトバンク中山バイパス」で申し込み手続きをした顧客の個人情報。契約者名395名分と携帯番号485件が含まれている。14日に同社が流出を知り、社内調査を行って判明した。情報はShareを介して13日に流出したとみられる。
同社は今後、該当顧客に対し、販売代理店と連携して謝罪と事情説明を行う。また、再発防止のため、販売代理店に対し徹底指導を行うとしている。
一方、オーエスティー社は情報流出が発覚した14日にサイトを閉鎖。ソフトバンクモバイルのほかに、同社が運営する個人塾「ITTO個別指導学院中山バイパス校」、飲食店「高粋舎 天文館店」「和DINING月の川」の生徒や顧客等の個人情報流出がネットで確認されているが、経過説明や謝罪文などは出されていない。
・ファイル共有ソフトを介して流出したお客さま情報について[PDF](ソフトバンクモバイル)
http://broadband.mb.softbank.jp/corporate/release/pdf/20071116j.pdf
■広島大学病院と広島赤十字原爆病院、患者情報195名分が流出。
広島大学病院は16日、同院および広島赤十字原爆病院(広島県広島市)の患者情報がWinnyを介して流出したと発表した。発表によると、流出したのは患者の病歴要約(ID、氏名、生年月日、性別、職業、住所、電話番号、病名、入院歴、入退院年月日、主治医、指導医など)が110名分、紹介状(紹介先、氏名、年齢、病名、病歴、退院時処方など)が4名分、病歴要約と紹介状が13名分。また、広島赤十字原爆病院の患者の個人情報(氏名、病名)68名分も同時に流出した。
10月23日に外部情報から流出が発覚。内部調査の結果、流出元は広島大学大学院医歯薬学総合研究科の院生の個人用パソコンであるとわかった。調査によると、パソコンがウイルスに感染したのは2006年9月30日で、約1年前から流出していたという。院生はウイルス対策ソフトを使用していたが、当該ソフトの設定が不十分で感染したとみられる。調査の過程で広島赤十字原爆病院の患者情報も含まれていることがわかり、速やかに連絡をしたという。
両病院とも該当患者への謝罪文を送付し、送付が完了する16日に発表を行った。今回の事態をうけて、広島大学内7部局の部局長は連名で構成員全員に文書を送付し、情報管理の徹底について注意喚起を行った。今後も研修等を含め周知徹底を継続し、個人情報の適切な管理に取り組むとしている。
・患者さんの個人情報流出について(広島大病院)
http://www.hiroshima-u.ac.jp/hosp/news_info/index.html?id=3277
・広島赤十字、原爆病院
http://www.hiroshima-med.jrc.or.jp/
■青森県、県内児童の養護相談などの情報が流出
青森県は14日、県健康福祉部の男性職員の自宅パソコンから県内児童1名の養護相談の内容と職員本人の人事情報などがShareを介して流出したと発表した。同県によると、流出したのは、職員が2005年に面談した児童の面談記録(氏名、食事の内容、病院名など)、および当時の同僚職員2名の氏名、職員本人の自己評価票などの人事情報。
同県によると、当該職員は2003年頃から自宅で仕事をするために自宅パソコンにデータをメールで送付していた。自宅パソコンではファイル共有ソフトが使われており、11日にウイルスに感染してShareに情報が流出したという。13日、県内の情報管理系の会社が流出を発見し、県情報システム課に通報した。
県では内規で業務情報の持ち出しには所属長の許可が必要と規定していたが、当該職員はデータの持ち出し許可を得ていなかった。県は14日、児童の家族に会い、流出の事実を知らせて謝罪した。
・青森県
http://www.pref.aomori.lg.jp/
(2007/11/19 ネットセキュリティニュース)