標記の件につきまして、下記のとおりお知らせします。
1 事案の概要
パスワード等で保護したうえで本市ホームページにて掲載していた、介護認定進捗確認ツール(要介護・要支援認定の進捗情報エクセル)について、専門知識を持った者が、ある特殊な操作を行うと、介護保険被保険者番号等が閲覧できる状態となってしまい、これが、個人情報保護法第69条に定める「利用及び提供の制限」に抵触していると判明しました。閲覧できてしまうおそれがある情報には、氏名、住所、生年月日等は含まれておらず、介護保険被保険者番号から個人を特定されることはなく、詐欺等の対象となるような二次被害のおそれはありません。
しかしながら、介護保険被保険者番号も市が保有する個人情報の一部であるため、個人情報保護法第68 条第2項の規定により、対象者ご本人に通知を送付することとなります。
(1)対象者 32,673 人
(2)閲覧できてしまうおそれがある個人情報 令和5年6月1日~令和7年2月3日に要介護・要支援認定を申請した方の〔介護保険被保険者番号〕〔申請日〕〔申請区分〕〔主治医意見書到着年月日〕〔認定調査実施年月日〕〔審査会実施年月日〕(氏名、住所、生年月日等は含まれておりません)
(3)本人への通知時期 令和7年3月21日~
2 経緯
令和7 年2 月6 日(木)10 時頃 他地方自治体の情報セキュリティ担当部署より、本市の情報セキュリティ担当部署へ連絡があり、本市ホームページ上の介護認定進捗確認ツールについて、ある特殊な操作を行うと、内部の情報を閲覧できる状態となることが判明した。
2月6 日(木)10 時半頃 介護保険課にて当該ツールをホームページから削除し、閲覧できないようにした。
2月10日(月) 個人情報保護法に基づき、個人情報保護委員会に状況を報告した。
2月13日(木) 個人情報保護委員会より、漏えいのおそれがある対象が、個人特定ができない介護保険被保険者番号のみであっても、対象者ご本人に状況を通知する必要がある旨回答があった。
3 詳細状況
(1)このツールを利用した経緯
要介護認定申請は、市の窓口で申請書を受理した後、介護認定調査員による訪問調査及び主治医の意見書を徴取し、介護認定審査会において審査のうえ要介護度を決定するものである。決定までに概ね平均40 日程度を要しており、この間、ケアマネジャー等から市へ審査の進捗状況について多くの問合せがある。運用開始前、本市では、ケアマネジャー等が対象者の審査の進捗状況を確認したい場合、職員が電話や窓口で問い合わせを受け、1件ずつ専用システムにて状況を確認し口頭で回答しており、関係者及び行政職員双方がその対応に時間を要する状況があった。そこで、関係者及び行政双方の業務効率化のため、オンライン上で審査の進捗状況を確認することができるツールの運用を検討した結果、「介護認定進捗確認ツール」を本市で独自に作成、令和5 年8 月31 日に運用を開始した。
(2)このシステムは、直近3 ヶ月分の申請に関する確認が行えるようにしており、ほぼ毎日、最新のデータに更新を行っていた。
(3)このシステムの利用方法は次のとおり。 (ア)ケアマネジャー等がホームページ上に掲載されたツールをダウンロード (イ)対象者の「介護保険被保険者番号」「認定申請日」「申請区分」を入力 (ウ)入力項目が全て一致した場合に、対象者の認定進捗状況である「主治医意見書回収状況」「認定調査実施状況」「認定審査会年月日」が表示される。(※1 システムイメージ参照)
(4)ツール内のデータは、パスワードで保護をかけていたが、専門知識を持った者が、ある特殊な操作を行うと、対象者以外の方の情報も閲覧できる状態となることが判明した。
(5)本人の関係者以外の者が、介護保険被保険者番号等の情報から個人を特定することはできないが、個人情報保護法の規定に基づき対象者本人に通知を行う必要がある。(※2 個人情報について参照)
4 二次被害のおそれについて
介護保険被保険者番号だけでは個人の特定はできず、詐欺等の対象となるような二次被害のおそれはありません。また、この番号を使用する介護保険関連の事務手続(要介護認定申請、被保険者証再発行、給付費請求等)の際は、番号以外にも氏名や生年月日等の記載が必要であるため、不正な手続に使用されるおそれもありません。なお、本人への通知の際「この件で、市から電話等で還付金等のご案内をすることはない」と、間接的な詐欺被害に対する注意喚起も記載する予定です。
5 原因
データを暗号化(パスワードで保護)すれば、個人情報をホームページに掲載していることにならないと誤認していたため。
6 再発防止策
・介護認定進捗確認ツールの運用を中止しました。 ・介護保険課内において、改めて個人情報保護及び情報セキュリティに関する研修を実施しました。
・今後、熊本市情報セキュリティポリシーに基づき、必要以上の情報を提供(ダウンロード可能な状態に)することのないよう介護保険課内で徹底し、取扱いに疑義がある場合はセキュリティ担当部署に確認を行いながら、慎重に事務を進めていきます。
・広報課にて、市ホームページ管理マニュアルへ、個人情報の公開・公表についての注意喚起を記載することとしました。