AsiaX

献血者80万人の個人情報が流出、ベンダーに過失

 
 シンガポール健康科学庁(HSA)は15日、献血を行った国民80万余りの個人情報が1月4日から3月13日までの9週間、インターネット上でアクセス可能な状態にあったと発表した。HSAから業務の委託を受けたセキュア・ソリューションズ・グループ(SSG)に過失あったためだという。
 
 流出した情報は、氏名、身分証明書番号、性別、献血回数、直近の3回の献血日。献血者の血液型、身長、体重情報が流出したケースもあった。情報が漏れたのは血液銀行を訪問した献血者で、献血には不適とされた者も含まれていた。SSGがサーバーに防御を施していなかったのが原因。
 
 脆弱性を発見したのは海外在住のサイバーセキュリティーの専門家。情報にアクセスする権限のない者がアクセスできることに気付き、個人データ保護委員会に通知。委員会から連絡を受けHSAは3月13日、データベースをインターネットから遮断した。
 
 HSAによると、情報更新と試験目的でデータをSSGに提供したが、SSGはセキュリティーを施していないサーバーに保管するという契約違反を犯した。データに医療情報など重要情報は含まれていない。シンガポールでは昨年と今年1月、患者情報が流出する事件が起こっていた。