Last Updated on 2024-01-24 18:13 by 荒木 啓介
【ダイジェスト】
オランダのCOVID-19検査記録がインターネット上で公開され、約130万件の患者データが露出したという報告があります。このデータベースには、コロナウイルスの検査証明書118,441件、予約記録506,663件、検査サンプル660,173件、そして「少数の」内部ファイルが含まれていたとされています。患者の氏名、生年月日、パスポート番号、メールアドレスなどの個人を特定できる情報が含まれていました。
このデータベースは、セキュリティ研究者のJeremiah Fowlerによって発見され、オランダ最大級の商業COVID-19検査プロバイダーであるCoronaLab(アムステルダムに拠点を置くMicrobe & Labの子会社)に属していると推測されています。米国大使館は、CoronaLabをオランダで推奨する商業COVID-19検査プロバイダーの一つとしてリストアップしています。
Fowlerは、悪意のある者がこのデータベースにアクセスした場合、深刻な被害をもたらす可能性があると警告しています。犯罪者は、患者と検査室のみが知る検査日、場所などの情報を参照することができるかもしれません。COVID-19検査データと個人情報が組み合わさった潜在的な露出は、文書に記載されている個人の個人的および医療的プライバシーを危険にさらす可能性があります。
問題のデータベースについては、発見された後オフラインになったという点では他のデータ漏洩ニュースと似ていますが、このケースはそれほど単純ではありません。Fowlerによると、CoronaLabやMicrobe & Labに何度も連絡を試みましたが、一切の返答がなかったとのことです。彼は「複数の責任ある開示通知を送り、返信がなく、何度かの電話も結果に結びつかなかった」と主張しています。データベースは約3週間公開されたままで、最終的にクラウドホスティングプロバイダーに連絡した後、ようやく公開から保護されました。
Microbe & LabやCoronaLab自体からの詳細な情報がないため、データベースが実際にどの程度の期間オンラインで露出していたかは不明です。CoronaLabのウェブサイトは現在ダウンしており、このアウトエージがデータベースの露出と関連しているのか、またサービスが再開されるのかは不明です。記録が露出した組織に連絡が取れないため、顧客や患者が自分たちのデータがオンラインで露出していたことを知っているかどうかも不明です。また、欧州のデータ保護当局に通知されているかどうかもわかりません。
EU一般データ保護規則(GDPR)の第33条によれば、データ漏洩は検出後72時間以内に地元の当局に報告されなければならず、影響を受けた個人にも通知が必要です。オランダのデータ保護当局にCoronaLabのデータ露出について通知されているかどうかを尋ねましたが、すぐには返答がありませんでした。
【ニュース解説】
オランダのCOVID-19検査プロバイダーであるCoronaLabが、約130万件の患者データを含むデータベースをインターネット上で保護せずに公開してしまったことが発覚しました。このデータベースには、患者の氏名や生年月日、パスポート番号、メールアドレスなどの個人情報が含まれており、セキュリティ研究者のJeremiah Fowlerによって見つけられました。
Fowlerは、このデータベースが悪用された場合、患者と検査室だけが知っているはずの検査日や場所などの情報を犯罪者が利用できる可能性があると警告しています。これにより、患者のプライバシーが侵害される恐れがあります。
問題のデータベースは発見された後にオフラインにされましたが、CoronaLabや親会社であるMicrobe & LabからはFowlerの問い合わせに対する返答がなかったとのことです。データベースは約3週間公開されたままで、最終的にはクラウドホスティングプロバイダーに連絡した後に保護されました。
現在、CoronaLabのウェブサイトはダウンしており、データベースの露出との関連性やサービスの再開については不明です。また、患者や顧客にデータ露出の事実が通知されたか、さらには欧州のデータ保護当局に報告されたかどうかもわかっていません。
EUの一般データ保護規則(GDPR)では、データ漏洩が発見された場合、72時間以内に地元の当局に報告し、影響を受けた個人にも通知することが義務付けられています。この規則に従って適切な対応が行われたかは、現時点では不透明です。
from COVID-19 test lab accused of exposing 1.3 million patient records to open internet.
