厚生労働省滋賀労働局は7月17日、委託事業受託者による個人情報の漏えいについて発表した。
同局及び滋賀県では令和6年度 医療労務管理支援事業を一般社団法人滋賀県病院協会に委託しており、同協会では滋賀県医療勤務環境改善支援センターとして事業を行っているが、同センターの職員Aが業務用端末の操作中にサポート詐欺に遭い、Outlook メールファイルが消去され、端末が一時的にリモート操作されていた可能性があるという。
職員Aは4月11日の休憩時間中に、業務用端末からWebページを閲覧している際に警告音とともにMicrosoft社へ電話するよう警告画面が表示されたため、表示された電話番号に架電し、外国人らしき人物から指示されたURLへ誘導されアクセスしたが、続いてコンビニエンスストアでプリペイドカードを購入するよう指示されたことで不審に思い、同センターの職員Bに伝え、職員Bが当該端末の電源を落とし、職員Aは切電している。
職員Bは当該端末のリース会社に連絡し、リース会社ではリモートで当該端末のチェックを実施、その結果、リース会社が4月12日に当該端末を引き取っている。
リース会社は4月19日に、初期化後の当該端末を納品し、当該端末のウイルス感染がないこと、Outlook メールファイルが復元できなかったこと、データが流出したかどうかの判断はできないことを確認した旨の報告を行っている。
漏えいの可能性があるのは、同センターがアドバイザーとして委託契約する社会保険労務士6名の氏名及びメールアドレスで、うち3名は金融機関口座番号及び印影も含まれていた。
その後、5月9日に、同センターの職員Cから滋賀労働局雇用環境・均等室に同センター業務でリース契約している業務用端末の、初期化費用の委託費計上について確認したい旨の連絡があり、初期化を行った利用を確認したところ、ウイルス感染の可能性が判明したとのこと。
同センターでは、再発防止策として下記の措置を実施したとのこと。
・私用での業務用端末の使用禁止
・個人情報が記載されたデータのメール送信時には必ずファイルにパスワードを設定すること
・業務で使用するインターネットサイトを限定し、専用フォルダ内に当該サイトの URLを集約し、インターネットのアクセスは当該フォルダからのみ行うこと
・同協会内の職員間のデータのやり取りはクラウド上の「Shareフォルダ」で行い、その後、限られた職員(2名)が管理するパスワードを設定した専用フォルダにデータを保存し、「Share フォルダ」内のファイル及びメールデータは削除する