情報漏えいにつながる危険な PDF 利用 - マスキングは有効だが「プロパティ」から漏えい可能性(新潟県) | ScanNetSecurity
2020.11.28(土)

情報漏えいにつながる危険な PDF 利用 - マスキングは有効だが「プロパティ」から漏えい可能性(新潟県)

新潟県は7月10日、総務省Webサイト上の「行政不服審査裁決・答申検索データベース」に公表したPDFファイルに誤って個人情報が含まれていたことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 2 枚 拡大写真
新潟県は7月10日、総務省Webサイト上の「行政不服審査裁決・答申検索データベース」に公表したPDFファイルに誤って個人情報が含まれていたことが判明したと発表した。

これは総務省Webサイト上の「行政不服審査裁決・答申検索データベース」上に公表した審査請求に対する裁決書のPDFファイルにて、本文の個人情報はマスキング処理していたものの「文書のプロパティ」上に審査請求人の姓、または姓名が含まれたというもので、7月8日午前10時頃に他の自治体からの連絡により発覚した。

誤って掲載されたのは審査請求人6名分の姓、または姓名。

同県では発覚後、ただちに個人情報部分を削除し再公表を行うとともに、対象者に説明と謝罪を行った。また現在、「行政不服審査裁決・答申検索データベース」以外に、新潟県Webサイト等他の公開ファイルに同様の事案がないか調査を行っており、まとまり次第公表予定。

ScanNetSecurityの取材に対し同県の担当者は「昔のものもあるので担当者の記憶も曖昧だが、恐らく作成した資料をPDFに変換する際に、担当者が意図的に設定したのではなく、ソフトの設定で自動的に文書のプロパティの「タイトル」上に個人情報が表示されるようになってしまった。使用したソフトについては、何種類かあるので、どのソフトでそういった事象が起きたのかははっきりしていない。同データベース内に新潟県が掲載しているファイルは全件チェックしたが、個人情報が残っていたのは6件のみだった。マスキングについては、黒塗りではなく個人名を●●や××などに置き換えている。」と述べた。

PDFは中高年ビジネスパーソンや自治体関係者に愛される一方で、正しい操作方法の知識がユーザーに普及していない。

個人情報をマスキングしたはずのPDFファイルからの情報漏えいの危険性について、ScanNetSecurityでは7月7日、ワープロソフトの網掛け機能の誤解による大船渡市の事例を掲載したが、今回新潟県から回答のあった個人名の記号(●●や××等)への置き換えなら、全件置換すれば文字情報は消える上に塗り忘れも無い(全文の目視は必要)。

同県では今後、公表する文書をPDFファイルに変換する際に「文書のプロパティ」に個人情報が表示されないよう設定変更するとともに、外部にPDFファイルを提供する際は複数人で確認するよう周知し再発防止に努めるとのこと。

《高杉 世界( Sekai Takasugi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

    三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

  2. 「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

    「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

  3. 最もよく使われているパスワード、「ポケモン」「NARUTO」「遊戯王」ランクイン

    最もよく使われているパスワード、「ポケモン」「NARUTO」「遊戯王」ランクイン

  4. 「Peatix」に不正アクセス、最大677万件のユーザー情報流出

    「Peatix」に不正アクセス、最大677万件のユーザー情報流出

  5. カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

    カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

  6. 「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

    「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

  7. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  8. 「お前らの登録情報を頂戴したナリ」衆議院議員のメルマガサーバに不正アクセスし脅迫メール送信

    「お前らの登録情報を頂戴したナリ」衆議院議員のメルマガサーバに不正アクセスし脅迫メール送信

  9. 「ふくいナビ」クラウドの全データ消失、NECキャピタルソリューション社内手続ミスが原因

    「ふくいナビ」クラウドの全データ消失、NECキャピタルソリューション社内手続ミスが原因

  10. 東建コーポレーショングループへの不正アクセスで最大657,096件、約20年分の個人情報が流出

    東建コーポレーショングループへの不正アクセスで最大657,096件、約20年分の個人情報が流出

ランキングをもっと見る