委託先のアクセス制限誤り、佐賀市お問い合わせフォーム送信画像が閲覧可能に

佐賀県佐賀市は3月2日、同市Webサイトにて問い合わせ等の際に添付された個人情報を含む画像データがインターネット上で閲覧可能な状態であったことが判明したと発表した。

佐賀市では株式会社プライムにWebサイトの改修と管理業務を委託しており、2019年10月のデザイン変更等の改修に合わせてメール送信フォームに画像添付機能を追加、本機能を利用し送信された画像データはランダムに自動付与されたファイル名によりサーバに保存された後、メール本文とともに各課に送信される仕組みであった。

メール送信フォームに入力された送信者情報や内容等のメール送信履歴は、第三者が閲覧できないようアクセス制限を設定してが、その一方で、画像データには、第三者の閲覧を防ぐアクセス制限を適切に設定しておらず、特定のURLを直接入力することで画像データの閲覧が可能となっていた。

同市では、メール送信フォームへの機能追加の際に、プライム社に対し画像データの保存フォルダへの第三者からのアクセスを制限するよう指示していたが適切に処理されておらず、その確認ができていなかったことが原因。

2月25日午後6時35分に当該サイトの「各課へのお問い合わせ」から秘書課宛に情報提供があり、翌2月26日に同市にて情報提供内容を確認し、プライム社にて当該フォルダへのアクセス制限、サーバ上のファイルをバックアップしたうえで削除、当該フォルダへのアクセスログの解析結果の報告を行った。

閲覧可能であった画像データは986件で、内容は次の通り。

・個人情報を含む画像データ：123件
マイナンバーカード：4件、同通知カード：2件、運転免許証：2件、パスポート：2件、申請書等：113件

・個人情報を含まない画像データ：863件
風景や浸水状況等の報告写真、イラストなど

同市では2月26日に総務省と佐賀県へインシデント報告を、3月1日に送信者へシステムの不備に関する報告と謝罪及び今後の対応窓口を連絡した。

なお、画像には3つのIPアドレスから982件のアクセスがあったが、全て情報提供者のアクセスであることを確認した。

同市では今後、「佐賀市情報セキュリティポリシー」の外部委託等に関する契約事項の規定にシステムで利用されるデータの取扱いについてデータは残さないなどはっきり分かるよう明記し、外部との情報のやり取りを行うシステムの開発では運用開始後に利用者から提供される個人情報等が適切に保護されるよう開発仕様書に明記、システム上での個人情報等の保護対策についての説明を求め、適切にセキュリティが確保されているか確認を徹底し、再発防止に努めるとのこと。