情報漏えいにつながる危険な PDF 利用 - マスキングは有効だが「プロパティ」から漏えい可能性(新潟県) | ScanNetSecurity
2024.02.28(水)

情報漏えいにつながる危険な PDF 利用 - マスキングは有効だが「プロパティ」から漏えい可能性(新潟県)

新潟県は7月10日、総務省Webサイト上の「行政不服審査裁決・答申検索データベース」に公表したPDFファイルに誤って個人情報が含まれていたことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 2 枚 拡大写真
新潟県は7月10日、総務省Webサイト上の「行政不服審査裁決・答申検索データベース」に公表したPDFファイルに誤って個人情報が含まれていたことが判明したと発表した。

これは総務省Webサイト上の「行政不服審査裁決・答申検索データベース」上に公表した審査請求に対する裁決書のPDFファイルにて、本文の個人情報はマスキング処理していたものの「文書のプロパティ」上に審査請求人の姓、または姓名が含まれたというもので、7月8日午前10時頃に他の自治体からの連絡により発覚した。

誤って掲載されたのは審査請求人6名分の姓、または姓名。

同県では発覚後、ただちに個人情報部分を削除し再公表を行うとともに、対象者に説明と謝罪を行った。また現在、「行政不服審査裁決・答申検索データベース」以外に、新潟県Webサイト等他の公開ファイルに同様の事案がないか調査を行っており、まとまり次第公表予定。

ScanNetSecurityの取材に対し同県の担当者は「昔のものもあるので担当者の記憶も曖昧だが、恐らく作成した資料をPDFに変換する際に、担当者が意図的に設定したのではなく、ソフトの設定で自動的に文書のプロパティの「タイトル」上に個人情報が表示されるようになってしまった。使用したソフトについては、何種類かあるので、どのソフトでそういった事象が起きたのかははっきりしていない。同データベース内に新潟県が掲載しているファイルは全件チェックしたが、個人情報が残っていたのは6件のみだった。マスキングについては、黒塗りではなく個人名を●●や××などに置き換えている。」と述べた。

PDFは中高年ビジネスパーソンや自治体関係者に愛される一方で、正しい操作方法の知識がユーザーに普及していない。

個人情報をマスキングしたはずのPDFファイルからの情報漏えいの危険性について、ScanNetSecurityでは7月7日、ワープロソフトの網掛け機能の誤解による大船渡市の事例を掲載したが、今回新潟県から回答のあった個人名の記号(●●や××等)への置き換えなら、全件置換すれば文字情報は消える上に塗り忘れも無い(全文の目視は必要)。

同県では今後、公表する文書をPDFファイルに変換する際に「文書のプロパティ」に個人情報が表示されないよう設定変更するとともに、外部にPDFファイルを提供する際は複数人で確認するよう周知し再発防止に努めるとのこと。

《高杉 世界( Sekai Takasugi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  2. エレコム製無線 LAN ルータに複数の脆弱性

    エレコム製無線 LAN ルータに複数の脆弱性

  3. 「UTM 理解していない」半数

    「UTM 理解していない」半数

  4. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  5. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  6. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

  7. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  8. Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

    Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

  9. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割PR

  10. 個人情報保護ルールを「あまり/まったく守れていない」のは部課長が最多

    個人情報保護ルールを「あまり/まったく守れていない」のは部課長が最多

ランキングをもっと見る