C
月内に
マツダ病院の画像診断委託先において、クラウドストレージの設定ミスにより患者626人分の個人情報がインターネット上で閲覧可能な状態になっていたこと
📌 一言でいうと
マツダ病院の画像診断委託先において、クラウドストレージの設定ミスにより患者626人分の個人情報がインターネット上で閲覧可能な状態になっていたことが判明しました。流出した情報は氏名、患者ID、撮影日、部位などで、画像や病名などの機密性の高い情報は含まれていません。2023年4月に発生し、2024年12月に修正されましたが、病院への報告は2026年2月に行われました。
🔍該当判定
- 顧客や患者などの個人情報を含むデータを、外部のクラウドストレージ(Google Drive, OneDrive, AWS S3等)に保存している
- 外部の委託業者に、個人情報を含むデータの保存・管理をクラウド経由で任せている
- クラウド上のファイル共有設定を「リンクを知っている全員が閲覧可能」などの公開設定で運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
クラウドストレージのアクセス権限設定(パブリック公開設定)の定期的な監査、および委託先におけるセキュリティ管理体制の再確認を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】クラウドストレージの設定ミスによる情報漏洩事例について
お疲れさまです。クラウド設定ミスによる情報漏洩事例に関する情報共有です。
■ 概要
委託先事業者が患者管理データをクラウドへ保存した際、ファイル共有設定の不備(アクセス制限の欠如)により、第三者がインターネット経由でデータを閲覧可能な状態になっていた事例が発生しました。
■ 影響範囲
- クラウドストレージ(S3, Azure Blob, Google Cloud Storage等)を利用して外部委託先とデータを共有している環境
■ 対応手順
1. 外部委託先に提供しているクラウドストレージのバケット/コンテナ設定を確認し、「パブリックアクセス」が意図せず有効になっていないか監査する。
2. 最小権限の原則に基づき、IAMロールやアクセス制御リスト(ACL)を再設定する。
3. 委託先との契約におけるセキュリティ監査権限および報告義務(インシデント発生時の通知期限)を再確認する。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回定期監査まで
お疲れさまです。クラウド設定ミスによる情報漏洩事例に関する情報共有です。
■ 概要
委託先事業者が患者管理データをクラウドへ保存した際、ファイル共有設定の不備(アクセス制限の欠如)により、第三者がインターネット経由でデータを閲覧可能な状態になっていた事例が発生しました。
■ 影響範囲
- クラウドストレージ(S3, Azure Blob, Google Cloud Storage等)を利用して外部委託先とデータを共有している環境
■ 対応手順
1. 外部委託先に提供しているクラウドストレージのバケット/コンテナ設定を確認し、「パブリックアクセス」が意図せず有効になっていないか監査する。
2. 最小権限の原則に基づき、IAMロールやアクセス制御リスト(ACL)を再設定する。
3. 委託先との契約におけるセキュリティ監査権限および報告義務(インシデント発生時の通知期限)を再確認する。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回定期監査まで
Subject: [Info] Data Leakage due to Cloud Misconfiguration
Dear Team,
We are sharing a case regarding a data leak caused by a cloud storage misconfiguration.
■ Overview
Due to improper file sharing settings (lack of access restrictions) when saving patient management data to the cloud, third parties were able to view sensitive information via the internet.
■ Scope
- Environments utilizing cloud storage (e.g., AWS S3, Azure Blob, GCP Storage) for data sharing with third-party contractors.
■ Action Plan
1. Audit cloud storage bucket/container settings to ensure that "Public Access" is not inadvertently enabled.
2. Reconfigure IAM roles and Access Control Lists (ACLs) based on the principle of least privilege.
3. Review security audit rights and incident reporting obligations in contracts with third-party vendors.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Next scheduled audit
Dear Team,
We are sharing a case regarding a data leak caused by a cloud storage misconfiguration.
■ Overview
Due to improper file sharing settings (lack of access restrictions) when saving patient management data to the cloud, third parties were able to view sensitive information via the internet.
■ Scope
- Environments utilizing cloud storage (e.g., AWS S3, Azure Blob, GCP Storage) for data sharing with third-party contractors.
■ Action Plan
1. Audit cloud storage bucket/container settings to ensure that "Public Access" is not inadvertently enabled.
2. Reconfigure IAM roles and Access Control Lists (ACLs) based on the principle of least privilege.
3. Review security audit rights and incident reporting obligations in contracts with third-party vendors.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Next scheduled audit